Introducción
La transformación
acelerada del entorno actual y las tecnologías emergentes, ubican a las
organizaciones en una tormenta y exigencia perfecta: identificar los mejores
escenarios para motivar los cambios que potencialicen las estrategias
corporativas (BOJANOVA, 2014) y asegurar, en dichos escenarios, una gestión de
riesgos que no solamente proteja a la empresa de situaciones no deseadas, sino
que la defienda de posibles amenazas o ataques que no están previstos.
En este contexto, no
es suficiente conocer o identificar posibles tendencias emergentes que puedan
comprometer la esencia del negocio de la empresa, sino contar con una capacidad
sostenible de anticipar y actuar, frente a nuevos agentes en el entorno que
puedan sugerir riesgo o amenaza para la empresa, sin perjuicio de que estos, se
puedan capitalizar para promover una vista alterna, donde la organización
encuentre un nuevo nicho de posicionamiento no identificado previamente.
Tener la capacidad
de ver en medio de la complejidad del ambiente, es decir, a través del tejido
de relaciones que supone la realidad, demanda de los ejecutivos de la seguridad
de la información desarrollar una capacidad de observación y acción diferente,
que pone en evidencia las limitaciones de los modelos actuales y exige una
vista renovada, para poder estar más cerca de las lecciones permanentes de la
inseguridad de la información, ahora potenciada por un mundo conectado, en la
nube, con redes sociales y dispositivos móviles.
En este sentido, los
responsables de la seguridad deben fortalecer sus competencias específicas,
esas propias del ejercicio de su función, con el fin de, no solamente atender
las cuestiones administrativas propias de la coordinación de las operaciones,
sino de anticipar las estrategias y modelos de protección y defensa requeridos;
para lo cual se hace necesario un cambio de visión y de pensamiento, que pase
de una vista estructurada de exclusivamente de protección, a una vista
sistémica u holística que sintonice la protección, la defensa y la
anticipación, es decir, proteger, defender y anticipar (PDA).
Lograr traducir las
alertas del entorno, en análisis reales de situaciones emergentes, motivar un
análisis relaciones de diferentes variables para ver aspectos novedosos de la
realidad y conectar puntos aislados para construir vectores y amenazas
emergentes, son tres condiciones básicas de las nuevas exigencias que se tienen
para los ejecutivos de seguridad de la información de este milenio. Esto es,
deben aprovechar los ejercicios tradicionales de los analistas en función de las
probabilidades y riesgos materializados, y promover escenarios alternos, que jueguen
con las posibilidades, como factor clave para sintonizar la armonía de los
contrarios: la seguridad y la inseguridad.
Así las cosas, este
documento presenta una breve reflexión académica sobre la formación de los
ejecutivos de seguridad de la información, con el fin de analizar y revisar las
estrategias actuales que aplican sobre aquellos y abrir nuevas posibilidades
que orienten una vista más abierta y relacional que genere nuevas distinciones
en el ejercicio de asegurar la información de la empresas de hoy y del mañana.
Cambio en el modelo de pensamiento: del Pensamiento
lineal al Pensamiento complejo
Competir en un mundo
en constante movimiento, demanda aprender y desaprender rápidamente, como
quiera que si no se hace, la obsolescencia del conocimiento será el mayor
verdugo de la idoneidad de la persona frente a las situaciones que se derivan
de esta realidad. En tanto, no se advierta un cambio en la forma como actualmente
descubrimos el mundo, estaremos caminando en el sendero inestable de la
incertidumbre, el cual nos puede conquistar y someter según sus caprichos, o
por el contrario, podemos aprovechar para anticipar acciones frente a
situaciones inesperadas.
Si insistimos, como
afirma Tobón (2013, pág.32) “en separar las partes para conocerlas, y poco en
relacionar las partes entre sí desde un todo. …”, tendremos una vista parcial
del mundo y estaremos perdiendo un segmento de la realidad, que de alguna forma
va a reclamar su participación en el escenario actual, generalmente sin avisar
y con consecuencias imprevistas. Por
tanto, se debe armonizar e integrar lo concreto de las partes a la totalidad,
en un ejercicio de armonía de contrarios, certezas e incertidumbres en un mismo
plano.
Las presiones
actuales de la organizaciones para lograr mayor posicionamiento en su sector de
negocio, reiteran el mensaje de cambio en la dinámica de los negocios, un
escenario asimétrico, incierto e inesperado, que demanda de los ejecutivos
corporativos la capacidad ver más allá de los datos y advertir situaciones
novedosas, que son propias de los análisis de variables y sus posibles
correlaciones, las cuales son interpretadas en escenarios conocidos y
desconocidos para crear realidades alternas.
En esta lectura, el
ejecutivo de seguridad de la información, no solamente debe considerar los
hechos y datos que la realidad de su gestión le informa, sino revisar y
cuestionar los modelos y prácticas que usa en la actualidad, considerando los
objetivos estratégicos del negocio y las expectativas de la alta gerencia, para
proponer escenarios contrapuestos que vayan más allá del esquema de protección
actual y ponga a prueba sus propios controles, que permitan superar la falsa
sensación de seguridad.
En consecuencia, la aplicación
de técnicas y tecnologías emergentes como las “máquinas de aprendizaje”, los “grandes
datos y analítica”, la correlación de eventos, la información de inteligencia
sobre amenazas y los simulacros de escenarios de ataque (EMC-RSA, 2014),
establecen los nuevos referentes para superar los tradicionales análisis de
riesgos y controles y ajustarlos a la realidad de amenazas y riesgos conocidos,
latentes, focales y emergentes (CANO, 2014).
Reinventar el
ejercicio de protección de los ejecutivos de la seguridad de la información,
demanda consultar prácticas semejantes en otros dominios de la seguridad (como
la industrial, la física, la ambiental, entre otras), entender la dinámica de
una empresa digital (ANDERSSON y TUDDENHAM, 2014) y la nueva realidad de
amenazas y ataques globales, para reformar los fundamentos de su pensamiento, que
pasen de una doctrina centrada en la protección, a conjugar tres verbos
rectores de su nueva práctica: proteger, defender y anticipar.
Competencias claves para los ejecutivos de seguridad
de la información del nuevo mileno
Los ejecutivos de la
seguridad de la información del nuevo milenio deben entender que no es
suficiente comprender y desarrollar su función basado en tecnología y
prácticas, sino que deben incorporar elementos de política y regulación. (HATHAWAY
y STEWART, 2014) En este sentido, se hace necesario abrir el espectro de
formación de estos profesionales, con el fin de formarlos para la incertidumbre
y no para las certezas.
Muchas de las
estrategia de formación en seguridad de la información se fundamentan en
certezas o escenarios conocidos, los cuales, si bien ofrecen motivos y forma de
análisis que son generosos en explicaciones, se requieren modelos alternos que
promuevan contextos mixtos que sugieran relaciones cruzadas entre tecnologías,
prácticas, elementos políticos y jurídicos, que exijan la capacidad del
responsable de la seguridad, para que piense en el margen de la hojas y
proponga alternativas no tradicionales.
En este ejercicio,
la protección de la organización,
generalmente asociada con prácticas de tratamiento de información para los
empleados, gestión de riesgos en el contexto de los procesos y tecnologías de
apoyo para asegurar la información digital y en papel, así como su perímetro
exterior, son elementos tradicionales que no tienen discusión en la lógica
actual del responsable de la seguridad de la información; sin embargo ante la
complejidad del entorno, no son suficientes para cruzar la tormenta de
inestabilidades y vulnerabilidades no documentadas que debe enfrentar la
empresa.
De manera
complementaria, se presenta el concepto de defensa,
como una capacidad de la organización para entender el escenario de combate,
analizar sus posibilidades y establecer elementos que le permitan no solo
defender, sino atacar, disuadir, negociar y hacer inteligencia de su entorno. Defender
entra en el lenguaje del responsable de la seguridad, como una forma de
advertir que la empresa exige estar al altura del escenario donde actúa (en el
contexto político y regulatorio) y, está dispuesta no sólo a proteger su
territorio de operación, sino a hacerlo respetar cuando corresponda, incluyendo
las acciones ofensivas si son requeridas.
Finalmente y no
menos importante, es anticipar. Anticipar en seguridad de la información es
mantener una revisión permanente del entorno, advertir nuevas relaciones y
enfoques de los diferentes actores de su ámbito de operaciones, para conectar los
diferentes puntos del escenario y reconocer vectores de riesgos y amenazas, que
permitan mantener una vista fresca y renovada de la gestión de riesgos, en un
contexto más dinámico y menos estático. Anticipar, es crear una vista integrada
de la realidad que recrea posibilidades de análisis, para generar oportunidades
de acción que comuniquen el sentido de urgencia, frente a la protección y la
defensa tanto de la información como de los activos estratégicos
respectivamente.
Reflexiones finales
Comprender las
razones de las fallas, según Edmondson (2011), indaga en aspectos como
desviaciones, falta de atención, falta de habilidad, procesos inadecuados,
tareas retadoras (que no se realizaron adecuadamente), procesos complejos,
incertidumbre, pruebas de hipótesis (fallidas) y pruebas exploratorias (con
resultados indeseados), temas que son claramente parte del escenario de respuestas
para comprender qué fue lo que pasó. Sin embargo resulta más valiosos,
identificar las lecciones aprendidas que se pueden extraer, consultando las
razones antes enumeradas.
En razón al
anterior, si queremos enfrentar y renovar la formación de los ejecutivos de la
seguridad la información, resulta conveniente explorar y desarrollar nuevas
competencias específicas para su función, que no sólo consulten su conocimiento
de la tecnología y la práctica, sino que integren y desarrollen una red de
análisis extendido que vincule los aspectos políticos, regulatorios y
prospectivos.
Parafraseando a
Tobón (2013, pág.151), significa generar “un profundo cambio de paradigma en la
educación, en el sentido que ya no se trata solo de formar y aprender, sino de
aprovechar los escenarios…” inciertos para crear oportunidades reales donde se
pongan a prueba los conocimientos, aprendizajes y desaprendizajes de los
ejecutivos de seguridad de la información y así se sintonice la asimetría de la
mente del atacante, con la realidad de su gestión.
Lo anterior supone
un cambio de pensamiento en el ejercicio de la seguridad de la información que
notifica al pensamiento causa-efecto, que existen otras formas alternas para
descubrir y entender la realidad, sabiendo que plantear una estrategia de
seguridad y control, como anota Morin
(referenciado por Tobón 2013, pág.156), “… sigue siendo la navegación en un
océano de incertidumbres a través de archipiélagos de certezas. …”. Por tanto, se
hace necesario desarrollar competencias especializadas para el ejecutivo de la
seguridad de la información que mediante el aprendizaje e interacción de
contextos, anticipe y renueve los modelos y prácticas de seguridad de la información
empresariales.
Si bien, como anota
Tobón en el escenario laboral-profesional (2013, pág.72), “las personas
requieren tener un alto grado de idoneidad en lo que hacen, ya que de esto
depende en alta medida la competitividad de la empresa …”, el ejecutivo de
seguridad de la información debe maximizar el valor de sus propuestas de
seguridad y control, aumentando la resistencia de la organización frente a los
ataques, mejorando la capacidad analítica para anticipar amenazas y
desarrollando una capacidad de respuesta y aprendizaje que asista los retos
corporativos de mediano y largo plazo.
Proteger, defender y
anticipar deben ser los nuevos referentes del direccionamiento estratégico de
los responsables de la seguridad de la información, con el fin de “tener
flexibilidad en abordaje de las situaciones inciertas … identificando y
afrontando estratégicamente la incertidumbre, considerando diferentes puntos de
vista …” (Tobón 2013, pág.49), para repensar la realidad de la empresa y seguir
de cerca el rastro de su maestra la inseguridad de la información.
Referencias
BOJANOVA, I. (2014)
The digital revolution: what’s on the horizon. IEEE IT Professional. Enero/Febrero.
EDMONDSON, A. (2011)
Strategies for learning from failure. Harvard
Business Review. April.
ANDERSSON, H. y
TUDDENHAM, P. (2014) Reinventing IT to support digitalization. Mckinsey Quarterly. Mayo.
EMC-RSA (2014)
Transformación de la seguridad de la información. Enfoque en tecnologías
estratégicas. Security for Business Innovation Council. Recuperado de: http://colombia.emc.com/collateral/solution-overview/h13125-report-sbic-strategic-technologies.pdf
HATHAWAY, M. y
STEWART. (2014) Taking control of our cyber culture. Georgetown Journal of International Affairs. Julio. Recuperado de: http://journal.georgetown.edu/cyber-iv-feature-taking-control-of-our-cyber-future/
TOBON, S. (2013) Formación integral y competencias.
Pensamiento complejo, currículo, didáctica y evaluación. Cuarta Edición. ECOE
Ediciones.
CANO, J. (2014) La ventana de AREM. Una
herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de
Criptología y Seguridad de la Información. Alicante. Septiembre 2 al 5.
Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
No hay comentarios:
Publicar un comentario