Introducción
De acuerdo con el
Instituto para el futuro (Fidler y Gobis, 2012) son seis las fuerzas motrices
que dominarán el futuro: el nuevo ecosistema mediático, un mundo informatizado,
las organizaciones superestructuradas, el mayor protagonismo de las máquinas y
los sistemas inteligentes, la mayor longevidad y un mundo globalmente
conectado. De igual forma, Gartner (Howard, Plummer, Genovese, Mann, Willis y
Smith, 2012) indica que el mundo conocido estará gobernado por cuatro fuerzas
convergentes: la computación en la nube, las redes sociales, la computación
móvil y los grandes datos y la analítica.
Estas tendencias y
consideraciones ponen de manifiesto fuerzas disruptivas que cambian la manera
cómo hacemos las cosas y la forma cómo conocemos y descubrimos la realidad. En
este contexto, los académicos Fidler y Gobis (2012) establecen diez capacidades
que serán cruciales para el éxito en el trabajo. Dichas capacidades son:
pensamiento computacional, dotes de diseño, gestión del volumen cognitivo,
nueva alfabetización mediática, transdisciplinariedad, interpretación,
inteligencia social, pensamiento innovador y adaptabilidad, competencia
transcultural y colaboración virtual.
Estas capacidades,
implican necesariamente enfrentarse a un mundo cada vez más complejo,
entendiendo esta palabra, no como dificultad o algo complicado, sino como la
necesidad humana para desarrollar estrategias y mecanismos para aumentar su
variedad frente a nuevas formas como se advierte la realidad. Es decir, crear
una interrupción del flujo esperado de acciones en nuestra relación con otros o
con el mundo, para crear un estado de inseguridad que permita entrar en un
nuevo ciclo de aprendizaje (REYES y ZARAMA, 1998).
Si lo anterior es
correcto, el cimiento de la función y gobierno de seguridad de la información
es crear estados de inseguridad permanentes, que permitan cuestionar los
fundamentos de su operación y posición estratégica, entendiendo que ella está
sometida al imperio de una ley esencial en su práctica: la inevitabilidad de la
falla. Si bien, no podemos inducir a una práctica paranoica de la gerencia de
la seguridad (gestión por miedo, dudas e incertidumbre), es importante
comprender que la inseguridad de la información acampa en medio del conjunto de
relaciones que se dan entre los componentes de un sistema, las cuales pueden
generar, algunas veces vulnerabilidades inesperadas o nada intuitivas
(Bonabeau, 2007).
Así las cosas,
tratar de pronosticar el comportamiento o las tendencias más significativas de
la inseguridad de la información, es un ejercicio retador, donde se corre el
riesgo de no ajustarse con lo que la realidad revela. Sin embargo y teniendo
claro que esta es una actividad que implica tratar de acertar en un blanco en
movimiento, se presentan y analizan tres temas vitales (la relevancia de las juntas directivas, las capacidades relevantes de
la función de seguridad de la información y la nueva generación de estrategas
en seguridad de la información) identificados en informes especializados de
la industria, noticias y reportes de investigación, con el fin de anticipar
reflexiones claves y formas de pensamiento alternas para los ejecutivos de
seguridad de la información, que posibiliten hacer distinciones nuevas en el
contexto de su práctica actual y proyectadas en el futuro.
Relevancia de las actuaciones de la junta directiva
El papel estratégico
de las juntas directivas depende de factores como la cultura y los
requerimientos legales del país donde opera. En este sentido, puede asumir
diferentes posiciones frente a la estrategia de la empresa: supervisar, cocrear
o soportar, los cuales definen en sí mismas, la forma como actuará respecto de
los cambios en el contexto de su industria (COSSIN y METAYER, 2014).
En su posición como supervisor, la junta directiva invierte
tiempo para monitorizar el desempeño corporativo y el comportamiento del equipo
ejecutivo. Es decir, revisa y asegurar que los ejecutivos de primer nivel de la
empresa seleccionan un curso de acción y lo implementan de acuerdo con las
exigencias propias de la estrategia, revelando inconsistencias que se puedan
presentar respecto de la vista del negocio de la empresa (COSSIN y METAYER, 2014).
Como cocreadores, los miembros de las juntas
directivas, contribuyen directamente a la cocreación de la estrategia de la
empresa. Esto es, ponen a disposición de los ejecutivos de primer nivel su
experiencia en otras compañías, contactos relevantes con grupos de interés y
situaciones claves de otras industrias, con el fin de plantear reflexiones que
posibiliten debates estratégicos más allá de las preconcepciones de la
industria, facilitando posiciones flexibles para abrir nuevos panoramas que
concreten acciones específicas que hagan la diferencia en su sector (COSSIN y
METAYER, 2014).
Como soporte, la junta emerge como ese cuerpo
colegiado que fortalece la credibilidad y autoridad del equipo ejecutivo
empresarial. A pesar de la distancia natural que existe entre la gerencia de la
empresa y la junta, ésta última genera valor ofreciendo apoyo y soporte a la
compañía dentro y fuera de ella, como quiera que esta figura de gobierno,
interviene en momentos claves de la empresa que le permiten cruzar momentos
difíciles y situaciones controversiales que puedan poner en peligro la
permanencia de la organización (COSSIN y METAYER, 2014).
Cualquiera que sea
el papel que juegue la junta directiva, en el contexto de los riesgos y
amenazas emergentes frente la seguridad de la información, se deben documentar
y motivar para comprender las asimetrías de las relaciones y efectos que tiene
la conectividad empresarial y las vulnerabilidades a las que puede estar
expuesta la empresa. Si bien, es importante notificarles que la inevitabilidad
de la falla estará presente todo el tiempo y que una brecha puede ocurrir en
cualquier momento, también deberán tener en su radar una vista ejecutiva de los
riesgos y amenazas conocidos, latentes, focales (o de industria) y emergentes
(CANO, 2014) para poder incluir en sus reflexiones estratégicas los impactos de
situaciones que afecten el modelo de generación de valor de la empresa y así,
afinar las decisiones que se pueden tomar respecto de la información y la
estrategia de la compañía.
Capacidades relevantes para la función de seguridad de
la información
Las capacidades
empresariales y la tecnología de información están íntimamente relacionadas,
pero frecuentemente son incomprendidas. Una capacidad es la habilidad que se
tiene para entregar de manera confiable y consistente un resultado específico
relevante para el negocio (ÁLVAREZ y RAGHAVAN, 2010).
En este sentido,
cualquier iniciativa que se plantee para potenciar estas capacidades, deberá
estar alineado frente a dos criterios claves, valor potencial de la misma y la
importancia estratégica para empresa. Mientras el primer criterio busca mejorar
el desempeño corporativo y reducir costos ajustados con la estrategia planteada
por la organización, el segundo busca identificar capacidades distintivas donde
pueda invertir para alcanzar una posición clave en su segmento de mercado
(ÁLVAREZ y RAGHAVAN, 2010).
Alto
Valor potencial
Bajo
|
Refinar
|
Crecer
|
Mantener
las luces encendidas
|
Sostener
|
|
|
Bajo Importancia estratégica Alto |
Tabla No.1
Inversiones de TI (Adaptado de Álvarez y Raghavan, 2010)
Basado en lo
anterior, se establecen cuatro cuadrantes que definen las orientaciones de
inversión requeridas para potenciar las capacidades de una comunidad de
negocios. A continuación se resumen los cuadrantes y sus implicaciones, las
cuales luego serán revisados y leídos en el contexto de la función de seguridad
de la información.
Cuando el valor
potencial (VP) y la importancia estratégica (IE) es baja, las inversiones que
se destinan son para mantener lo que se tiene en operación, lo que los autores
denominan “mantener las luces encendidas”.
No hacer estas inversiones debilitan la posición actual de la empresa y ceden
terreno sobre el estándar base que las empresas tienen en su contexto de
negocio.
Si el VP es bajo y
la IE es alta, se habla de inversiones que permiten sostener la posición estratégica de la empresa; proyectos que
pueden requerir mejoramientos marginales para realizar el potencial total de
los mismos. Es decir, son aquellas iniciativas que están concebidas para
generar importantes transformaciones tácticas y operativas que aún no despegan
para dar todo el potencial con las cuales fueron creadas.
Si el VP es alto y
la IE es baja, las inversiones diseñadas son para refinar, es decir, para ajustar los proyectos vigentes con el fin
de ganar eficiencia, mejorar las operaciones y optimizar la fuerza laboral
propia de la ejecución de las actividades previstas. Si bien estas inversiones
buscan mantener a la empresa en el negocio, no la convertirán en organización
de clase mundial.
Finalmente, si el VP
es alto y la IE es alta, las inversiones se califican de crecimiento (para crecer), aquellas que hacen falta
para cubrir las brechas de aquellas capacidades que más requiere a la empresa.
Estas capacidades se articulan internamente entre áreas, productos y servicios
buscando cumplir con las expectativas de las diferentes partes involucradas.
Si leemos este
instrumento en el contexto de la función de seguridad de la información,
podemos tener una lectura que detalle sus capacidades fundamentales con los
siguientes énfasis.
Alto
Valor potencial
Bajo
|
Defender
(El valor
de la información de la empresa con inteligencia activa)
|
Anticipar
(actuar proactivamente,
limitando impactos en la operación, la reputación y el valor)
|
Proteger
(El
desarrollo del programa de seguridad de la información)
|
Asegurar
(El flujo
de la información estratégica en los procesos claves)
|
|
|
Bajo Importancia estratégica Alto |
Tabla No.
2 Capacidades para la función de seguridad de la información
Proteger,
implica reconocer las prácticas actuales de seguridad y control vigentes en la
empresa y mantener las inversiones que allí se tienen, buscando alcanzar cada
día un mayor nivel de madurez que permita avanzar y fortalecer la distinción de
protección, creando escenarios de historias de éxito que apalanquen el programa
actual de seguridad de la información.
Asegurar, es
profundizar en la identificación y protección de los procesos claves de la
empresa, donde la información estratégica es parte de las conversaciones de los
ejecutivos y donde el potencial de uso de la información, se estudia en el
contexto de las aplicaciones actuales y futuras del negocio, como fuente
potencial de nuevas ventajas claves para crear movimientos disruptivos en el
sector.
Defender, es
entender el territorio donde se mueve la organización y sus negocios, con el
fin de conocer y establecer escenarios de riesgos y amenazas que permitan
estudiar posibles flujos de información potencialmente valiosa, con la cual se
puedan desbalancear posiciones de jugadores claves de los mercados y favorecer
las estrategias planteadas por la empresa. La defensa es del valor de la
información, que se concreta en funciones de inteligencia activa que reconstruyan
los escenarios de actuación de la empresa.
Anticipar,
es concretar visiones y realidades emergentes que pronostiquen cambios
inesperados y realidades imprevistas, frente a las cuales la organización pueda
actuar sin mayores contratiempos, limitando impactos en su operación,
reputación y valor; con la menor afectación de sus grupos de interés y la mayor
claridad para la junta directiva frente a los cursos de acción definidos ante la
inevitabilidad de la falla.
Si la función de
seguridad de la información, no logra desarrollar con claridad alguna de las
capacidades mencionadas, comenzará a destruir el valor que haya podido crear
previamente, como quiera que cada una de ellas lo que hace es reforzar el
ejercicio estratégico efectuado desde la realidad de los riesgos de pérdida y/o
fuga de información sensible para empresa; lectura que define y declara a la
información como un activo intangible relevante para la supervivencia de la
empresa en el largo plazo.
Nueva generación de estrategas en seguridad de la
información
El contexto de los
negocios actuales y la manera como la información le da forma a nuevas y
retadoras estrategias para crear realidades nunca antes vistas, nos pone en
contexto sobre la nueva generación de estrategas que son requeridos en
seguridad de la información.
Si bien, la
experiencia en la gestión de riesgos, el manejo de presupuestos, el tratamiento
de las crisis e incidentes, las capacidades comunicativas y conocimiento
técnico de las tecnologías de seguridad informática, son elementos claves y
requeridos para enfrentarse a la realidad de la gerencia y gobierno de la seguridad
de la información de una empresa, se requieren habilidades y competencias complementarias
que renueven estos conocimientos y los actualicen en el mundo de
inestabilidades y dinámicas donde hoy ocurre la práctica de seguridad y control
de las empresas.
Dentro de las nuevas
competencias requeridas están la inteligencia social, la transdiciplinariedad,
la disposición para aprender y la correlación de múltiples datos y fuentes de
información.
La inteligencia social procura crear valor
solucionando problemas de la sociedad, aceptando e invitando a la competencia a
participar, empoderando a los grupos de interés para que formen parte de la
solución (SANTOS, 2014), en pocas palabras, colaborando y forjando relaciones
de confianza que procuren relaciones novedosas donde la práctica de seguridad
de la información, facilita una interacción sana y ajustada a los acuerdos
establecidos, que disminuya los costos ocultos de una vista deshonesta de un
uso no apropiado de la información.
La transdisciplinariedad, exige curiosidad
y voluntad para seguir aprendiendo después de haber terminado la educación
formal. Esto es, educar a investigadores para que puedan hablar el idioma de
otras disciplinas (FIDLER y GORBIS, 2012). Esta realidad en el contexto de la
función de la seguridad de la información, es hacer una lectura extendida de la
práctica de seguridad y control en el dominio de otras disciplinas.
Particularmente hoy el diálogo de la seguridad de la información con el
derecho, la biología, la gestión documental, la ética y los valores, el
pensamiento de sistemas y otras más, es amplio y generoso, lo que implica
renovar los lentes estratégicos y tácticos de la gestión y gobierno de la
seguridad en otras disciplinas como fuente de innovación y prácticas
emergentes.
La disposición para aprender, como lo indican
Reyes y Zarama (1998) pasa por tres momentos: declarar que no se sabe, aceptar
la posibilidad de una ceguera cognitiva (aceptar que no sabemos) y declarar un
maestro. Para los ejecutivos de la seguridad de la información “el no saber”
les crea un conflicto interno que los margina de nuevas oportunidades para ver
aquello que no se ve, pues ven comprometida su idoneidad profesional que puede
deteriorar su imagen delante de los ejecutivos de la empresa.
De otra parte,
las presiones internas les exigen saber lo que pasa frente a situaciones
inesperadas, lo que limita su capacidad para hacerse conscientes que “saben que no
saben” y darse la oportunidad para descubrir elementos emergentes que se
revelan en una situación particular, que son desconocidos y novedosos en ese
contexto.
Si lo anterior es ya
un ejercicio de humildad profesional, el declarar un maestro que lo oriente por
los nuevos linderos de reflexión, exige una alta dosis de autoridad y
confianza. Otorgarle el permiso y la condición de maestro a otro para que lo
saque de sus cegueras cognitivas y confiar en las propuestas metodológicas y
prácticas que se le ofrecen para que transite el camino de aprender y
desaprender, es entender e interiorizar el ejercicio natural de la
inevitabilidad de la falla: educar no para enseñarle algo que no sabía, sino
para convertirlo en alguien que no existía.
La correlación de múltiples datos y fuentes de
información, busca generar la capacidad del ejecutivo de seguridad de la
información para convertir el flujo masivo de datos, representados en informes,
noticias, contextos, impactos, tendencias e indicadores, para aprender a
filtrar, descubrir patrones emergentes y centrarse en lo realmente importante
(FIDLER y GORBIS, 2012). Es claro que esta capacidad, deberá estar asistida de
tecnología de información relevante, sin perjuicio de la habilidad cognitiva
que debe desarrollar el ejecutivo para no dejarse sobrecargar de información y
datos y así no perder el foco de sus análisis y resultados.
Reflexiones finales
De acuerdo con el SECURITY
FOR BUSINESS INNOVATION COUNCIL (2014), si un ejecutivo de seguridad de la
información quiere mantenerse “adelante en la curva” en su posición
organizacional, debe atender las siguientes cinco recomendaciones:
- Cuente con una posición clara de la seguridad de la información y su arquitectura que contengan las tendencias de las personas de incorporar nuevas tecnologías que ellos usan.
- Enmarque sus requerimientos en términos de las capacidades que usted requiere desarrollar, más que en términos de productos o grupos de ellos disponibles en el mercado.
- Mire y revise nuevos proveedores en seguridad de la información. En dos o tres años pueden tener soluciones que usted puede necesitar.
- Articule los problemas de negocio que usted necesite resolver en dos o tres años y empiece a presionar a los proveedores para proveer las herramientas que usted necesita.
- Busque información sobre tendencias tecnológicas emergentes.
Si bien las
anteriores son recomendaciones prácticas para el ejecutivo de seguridad de la
información en el contexto corporativo, es importante que atienda en los
siguientes años al menos tres elementos claves en su ejercicio empresarial como
son el entendimiento del papel de la junta directiva, las capacidades claves de
la función de seguridad de la información y las competencias complementarias,
previamente mencionadas.
Sin una revisión
consciente de estos elementos planteados, el gobierno de la seguridad de la
información seguirá funcionando en el mediano plazo con relativa calma y
discreto apoyo directivo. Sin embargo, el entorno y sus cambios lo llevarán a
escenarios inciertos donde la toma de decisiones estará enmarcada por mucha
información, poco tiempo y la demanda de efectividad de las acciones que se
apliquen.
Comprender la
complejidad de la realidad actual, la necesidad de incrementar la capacidad
para ver la variedad del entorno y desarrollar la habilidad para conocer y
explorar sobre la información y los datos, deberán ser la prioridad de los
nuevos ejecutivos de la seguridad de la información, cuya consigna estará
orientada a anticipar escenarios emergentes y definir cursos de acción que
limiten los impactos y aprovechen las oportunidades que la situación inesperada
les brinda.
Pronosticar en
seguridad de la información sobre diferenciadores tecnológicos, prácticas
emergentes y vulnerabilidades concretas, es comprender cuerpos de conocimientos
conocidos donde las estadísticas y análisis permiten establecer orientaciones
claves que son medianamente verificables.
No obstante lo anterior, lanzarse a
proponer cambios o transformaciones en el escenario estratégico y funcional, denota
una apuesta conceptual propositiva que consolida una búsqueda de una realidad
emergente y retadora, que inicia con los tres componentes planteados en este
documento y que, sujetos a las inestabilidades y contradicciones de la realidad,
dejan a nuestra maestra la inseguridad de la información como referente para
seguir aprendiendo.
Referencias
- FIDLER, D. y GORBIS, M. (2012) Las diez competencias que necesitarán sus empleados. IESE Insight. Primer trimestre. No.12.
- ÁLVAREZ, E. y RAGHAVAN, S. (2010) Road map to relevance. How capabilities-driven information technology strategy can help differentiate your Company. Strategy+Business. Issue 61. Winter.
- BONABEAU, E. (2007) Understanding and managing complexity risk. Sloan Management Review. Vol.48. No.4. Summer.
- COSSIN, D. y METAYER, E. (2014) How strategic is your board? Sloan Management Review. Vol.56. No.1. Fall.
- SECURITY FOR BUSINESS INNOVATION COUNCIL (2014) Transforming information security. Focusing on strategic technologies. RSA Security LLC, EMC Corporation.
- HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y SMITH (2012) The nexus of forces: Social, mobile, cloud and information. Gartner Research.
- REYES, A. y ZARAMA, R (1998) The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. Vol.5. No.3. pp 19-33
- CANO, J. (2014) La ventana de AREM. Una herramienta táctica y estratégica para visualizar la incertidumbre. Actas de la Reunión Española de Criptología y Seguridad de la Información. Alicante. Septiembre 1 al 5.
- SANTOS, F. (2014) Cómo puede transformar su negocio la lógica social. IESE Insight. Tercer trimestre. No.22.
No hay comentarios:
Publicar un comentario