Anotaciones sobre las competencias de los responsables de la seguridad de la información. Un ejercicio de resiliencia personal y supervivencia corporativa

Introducción

Los reportes internacionales sobre fallas de seguridad de la información, el creciente incremento del fraude por medios electrónicos y la temeridad de los usuarios respecto del uso de internet, establece un escenario retador para cualquier gerente o responsable de la seguridad de la información de una empresa, como quiera que estará siempre inmerso en la tensión de los que quieren apertura total de acceso y los que persiguen restricciones generales sobre la información (Ponemon, 2014).

Si bien el reto que le impone un escenario incierto, complejo y asimétrico, con eventos inesperados en cualquier momento, no lo debe atemorizar, si lo debe poner en alerta para renovar su estrategia de seguridad y control, toda vez que las tecnologías de seguridad informática por sí solas no le van a proveer la confianza requerida por la alta gerencia, que hoy se ve amenazada por eventos que no logra comprender, pero que reconoce puede afectar su posición privilegiada y responsabilidad frente a sus grupos de interés (Rai, 2014).

Así las cosas, el responsable de la seguridad de la información debe incrementar su capacidad de entendimiento del entorno, persuadir a la alta gerencia con un discurso motivador, que lo exhorte a salir de su “analfabetismo” de los riesgos denominados por la literatura como “cibernéticos” y renovar su visión empresarial desde las prácticas de las personas, respecto del tratamiento de la información, habida cuenta que son las imágenes e imaginarios presentes en la cultura de la empresa las que definen las actitudes de los individuos frente a la información (Rai, 2014; Escámez, García, Pérez y Llopis, 2007)

En consecuencia, el responsable de la seguridad de la información se debe convertir en un observador fino de la realidad organizacional para indagar en las creencias, teoría expuesta y en uso, así como en los artefactos corporativos, para ir en profundidad de las reales causas y aprendizajes de la organización que hacen parte de la cultura organizacional de seguridad de la información.

Con el contexto anterior, el ejecutivo de seguridad de la información debe desarrollar un pensamiento sistémico y transdisciplinar que reconozca la complejidad inherente a las actividades de la empresa y el desarrollo de su tejido cultural respecto del tratamiento de la información, para crear un entorno y significados requeridos que le permitan a la información alcanzar el reconocimiento, por convicción, de activo estratégico, sin perjuicio que la alta gerencia haga esta declaración (Huerta, Zambrano, Pérez, y Matsui, 2014).

En este sentido, este documento plantea algunas competencias claves de los gerentes de seguridad de la información, como punto de partida para fundamentar la formación de estos ejecutivos empresariales, los cuales no tienen otra opción que sumergirse fuera de las aguas técnicas y de procedimiento, para adquirir nuevas capacidades que le permitan preparar a la organización para asumir el reto de la inevitabilidad de la falla, el costo de aprender de los incidentes y la resiliencia para continuar operando a pesar de que un evento inesperado se materialice, ahora desde la vista de las competencias específicas.

Notas básicas sobre las competencias

Tomando las reflexiones de Tobón (2013, cap.3) se tratará de deconstruir el concepto de competencias, para buscar algunas pistas sobre la forma como estas influyen en el desempeño de las personas en el ejercicio de una condición particular tanto a nivel personal como empresarial.

Las competencias nos hablan en sí mismas de los seres humanos, del talento innato que tienen y la potencialidad de sus acciones para transformar su entorno. En la medida que se comprende y entiende la complejidad de las acciones de los individuos, podemos descubrir sus conductas con el fin de atender la red de significados con las cuales está conectado para asumirse a sí mismo como ser único, singular e irrepetible, sintonizando con la pluralidad de su entorno y su relación con otros.

En este sentido, las competencias tienen cinco características claves, que Tobón (2013, p.99-103) establece como fundamento de las actuaciones de las personas: actuación integral, resolución de problemas, idoneidad, ética y mejoramiento continuo.

La actuación integral hace referencia, como anota Tobón (2013, p.99) al sentido de reto y la motivación para alcanzar un objetivo, basado en la confianza en las capacidades y apoyo social, con una comprensión del contexto, teniendo en perspectiva el problema a resolver para actuar de acuerdo con un conjunto de estrategias, procedimientos y técnicas. Esto supone superar la tradición cultural y disciplinar que no le permite ver en las “márgenes de las hojas” y aumentar su capacidad para entender la complejidad inherente a su realidad.

En la resolución de problema, Tobón (2013, p.101) establece cuatro acciones a realizar:

• Comprender el problema en un contexto disciplinar, personal, ambiental, social y /o económico.
• Establecer varias estrategias de solución, en las cuales se tenga en cuenta lo imprevisto y la incertidumbre.
• Considerar las consecuencias del problema y los efectos de la solución dentro del conjunto del sistema.
• Aprender del problema para asumir y resolver problemas similares en el futuro.

Enfrentarse a un situación problemática, supone entender con claridad el contexto y sus interacciones, las relaciones identificadas entre los participantes, así como aquellas emergentes que actúan sobre las personas y sus significados, las cuales revelan una interacción mutua, que define un comportamiento propio que es deber del observador identificar, conocer y analizar.

 La idoneidad, que sin caer en precisiones reduccionistas, establece un conjunto de relaciones entre calidad, empleo de recursos, oportunidad y contexto. Esta característica busca establecer qué tan competente es una persona para realizar una actividad. Nos habla de la calidad de sus actuaciones respecto de un referente, la forma como desarrolla sus acciones, el entendimiento de su realidad circundante y la manera como cumple y lleva a cabo sus compromisos.

La ética está íntimamente relacionada con las actuaciones de los individuos. Revisa y evalúa la coherencia de los comportamientos de un individuo frente a los referentes de la comunidad y sus fundamentos axiológicos básicos. La ética comporta en el individuo una visión profunda del saber ser y saber convivir, que desarrolla el carácter de la persona, para reconocer mínimos de convivencia y reconocimiento del otro, para actuar con una visión de máximos que supere sólo la vista comportamental y trascienda a la esfera espiritual.

Finalmente el mejoramiento continuo, que no es otra cosa que reconocer, aplicar e incorporar las lecciones aprendidas, entender desde nuevos enfoques las prácticas actuales y asegurar que se está desarrollando una práctica real y renovada del  hacer, que nos lleve a niveles más altos de ejecución de las actividades en los individuos.

La lectura de estas características en el perfil del ejecutivo de seguridad de la información, nos habla de una exigente apuesta personal y profesional, que no solo demanda un conocimiento disciplinar en su dominio, sino una exigencia transdisciplinar que cuestiona los referentes actuales de los gerentes de seguridad de la información, como quiera que su experiencia, capacidad técnica y vista ejecutiva, sólo se puede alcanzar en un ejercicio de pensamiento complejo (Huerta, Zambrano, Pérez, y Matsui, 2014; Bililies, 2015) que por lo general no es visible en la especificación de sus labores.

Competencias clave para los directores de seguridad de la información

Las competencias de los ejecutivos de seguridad de la información no son ajenas a las cinco características de las competencias planteadas en la sección anterior. Ellas demandan una revisión integral de la persona en sí misma y la especificidad de las funciones a realizar en una organización. En este entendido, no se pretende fundar una teoría alrededor de las competencias de los responsables de la seguridad de la información, sino un cuerpo base de relaciones de interdependientes que correlacione cada una de las competencias planteadas para visualizar los retos propios del ejercicio de atender la complejidad propia de la inevitabilidad de la falla.

Las competencias planteadas para el oficial de seguridad de la información, siguiendo la revisión previamente realizada, son:

• Desarrolla pensamiento crítico para analizar y seleccionar los modelos y prácticas de seguridad de la información, más adecuados, considerando los objetivos estratégicos del negocio y las expectativas de la alta gerencia.  
• Establece y prioriza las amenazas y riesgos de seguridad de la información para diagnosticar, evaluar y comunicar el nivel de exposición de la empresa, a través de métodos tradicionales y modernos considerando la dinámica del entorno actual.
• Monitoriza la promesa de valor del modelo y prácticas de seguridad de la información para tomar las decisiones oportunas y pertinentes requeridas, considerando las desviaciones o lecciones aprendidas tanto de los incidentes de seguridad como de los cambios del entorno.
• Negocia y establece con los ejecutivos corporativos las estrategias de rendición de cuentas del programa de seguridad de la información para identificar y seleccionar los escenarios y las métricas más adecuadas considerando las prácticas y estándares relevantes en la gestión de seguridad de la información.
• Desarrolla una visión estratégica y táctica de la seguridad de la información en el contexto empresarial, para anticipar y renovar los modelos y prácticas de seguridad y control considerando los retos corporativos de mediano y largo plazo, así como los impactos de las amenazas y riesgos emergentes identificados.

Estas cinco competencias claves son específicas y propias de la realidad de un ejecutivo de la seguridad de la información, las cuales leen la complejidad del entorno que debe comprender y superar, con el fin de anticiparse y crear la capacidad de resiliencia requerida por la empresa para continuar navegando y alcanzando sus retos, a pesar de los eventos inciertos que debe sortear el modelo de generación de valor de la empresa.

Una competencia específica, establece Tobón (2013, p.119) son propias de una determinada ocupación, que generalmente tiene asociado un alto grado de especialización, así como una formación educativa particular, orientada para desarrollar el trabajo así como en educación superior. Lo anterior supone que los ejecutivos de seguridad de la información, deben alcanzar altos niveles de maestría en el exigente ejercicio de desdoblar la complejidad de la inseguridad de la información (Reid, Van Niekerk y Renaud, 2014), para lo cual deben estar todo el tiempo expuestos a condiciones inciertas, eventos no planeados y ocasiones de falla, que le exijan una mente abierta a las posibilidades y al mismo tiempo concreta y convergente que focalice estrategias de acción que den capacidad de movimiento aún se materialicen  sucesos inesperados.

Formando los nuevos ejecutivos de la seguridad de la información

Las competencias anteriormente especificadas plantean un referente base de la formación requerida por los responsables de la seguridad de la información. No busca ser una receta o una elaboración terminada, sino una excusa académica y educativa para ver aquellos elementos necesarios que se deben formar en los actuales y futuros ejecutivos de la seguridad de la información.

Articular una propuesta de currículo que permita el desarrollo de las competencias propuestas en este documento, si bien está fuera del alcance de esta reflexión, si es pertinente mencionar algunos temas claves que se deben considerar al plantear los contenido curriculares, como quiera que la acreditación de las competencias de los directores de seguridad de la información, no estará en el fundamento mismo del saber hacer, sino en el marco de procesos integrales y sistémicos, donde se tiene la visión de la parte y del todo, y donde se reconozca al individuo como integrante de la corporación (Tobón, 2013).

En este entendido, temáticas como planeación por escenarios, resiliencia organizacional, pensamiento de sistemas, competencia digital y tratamiento de la información, análisis de casos, analítica de datos, pensamiento crítico y analítico, así como ética y cumplimiento deberán ser parte de las características de los cursos que se planteen para este ejecutivo, sin perjuicio de la actualización natural requerida en tendencias tecnológicas de seguridad informática, así como la lectura permanente de los riesgos conocidos, latentes, focales y emergentes (Cano, 2014).

Como se puede observar, las características básicas de las competencias como los temas revisados anteriormente coinciden y refuerzan las conductas y actitudes de los ejecutivos de la seguridad de la información, habida cuenta que si bien estará siempre expuesto a un ambiente motivado por el conflicto, en medio de intereses cruzados, deberán deconstruir dicha realidad para resignificar esa disposición desfavorable de la seguridad de la información hacia una favorable requerida hacia la información y su protección, situada en un contexto real y concreto de la organización (Escámez, García, Pérez y Llopis, 2007).

Así las cosas, la formación de los ejecutivos de seguridad de la información debe equiparlos para transformar las creencias que sostienen las actitudes de las personas respecto de la información, para crear creencias conductuales (los atributos que asigna el individuo a un objeto, en función de los resultados previstos para él) y normativas (lo que los demás esperan que el individuo haga) (Escámez, García, Pérez y Llopis, 2007) que penetren la realidad de las personas y manifiesten resultados favorables de sus conductas, motivando una permanencia de dichas acciones, que no sólo lo benefician, sino que manifiestan impactos positivos en otros.

Si se pudiese hablar de un perfil de egreso de una persona formada para asumir el reto de ser el responsable de la seguridad de la información de una empresa, deberíamos advertir que sus habilidades y competencias estarán a prueba todo el tiempo para controvertir las lecciones de la inseguridad de la información, comprender el efecto recursivo y estructural que resulta en el ejercicio para descubrir la inseguridad (Reid, Van Niekerk y Renaud, 2014), o mejor de leer el tejido social empresarial que resulta de la mixtura de intereses, significados y retos corporativos, cuyas huellas (Andreu, 2014) se encuentran inmersas en cada una de las personas que hacen parte de la organización.

Reflexiones finales

Anota Morgan (1998, p.331) que las imágenes y metáforas no son solamente circunstancias interpretativas o formas de ver, sino que proporcionan marcos de trabajo para acción, esto es que en la medida que la capacidad de lectura de la realidad por parte del ejecutivo de seguridad de la información aumente y tenga una variedad lo suficientemente amplia, podrá comenzar a imaginar y observar el fenómeno de la inseguridad de la información más allá del sentido mecánico y operacional que le ofrece la realidad tecnológica y técnica de la infraestructura de seguridad informática.

Lo anterior supone desarrollar al menos las cinco competencias claves enunciadas, para que pueda hacer una lectura diferente del entorno cada vez y así interpretar las tensiones emergentes del ejercicio de la práctica de seguridad de la información, que exige un cambio sostenido de las actitudes de las personas respecto de la protección de la información y crear el entorno que asegure y asista, que los nuevos comportamientos incorporados tengan la trascendencia requerida en las diferentes audiencias y así permanezca a lo largo del tiempo.

En consecuencia, la formación del ejecutivo de la seguridad de la información, a parte de las características naturales que debe tener como son (IBM, 2013) desarrollador de relaciones efectivas, constructor de confianza, ser reconocido como autoridad temática en la empresa así como comunicador excelente, requiere incorporar una base de pensamiento complejo que le permita sentar los pilares para repensar su práctica, y así forjar conceptos y métodos inexistentes y que no se asocian con una perspectiva o disciplina particular.

Si bien las competencias son, de acuerdo con Bacarat y Graziano (Bustamante et al, 2004, p.69), un conjunto de propiedades inestables que deben someterse a prueba, las propias de los encargados de la seguridad de la información requieren mantenerse en tensión permanente para procurar una mente flexible y estratégica de estos encargados, habida cuenta de que su práctica no está fundada en certezas o claridades, sino en incertidumbre, imprevistos e incidentes que deben fortalecer su capacidad de proyección, análisis y reflexión sobre el entorno y sus impactos para la organización.

En consecuencia, sobrevivir como líder de seguridad de la información en la actualidad, implica aceptar con humildad la materialización de una falla y los señalamientos que esto trae, para que fortaleciendo su resiliencia personal, aumente su variedad para observar, revelar y comprender la inestabilidad de su entorno. Esto es, entender las fuerzas que lo atraviesan, advirtiendo la realidad como una red de relaciones que se reconstruye así misma y que evoluciona según cambian los significados y lecturas de la práctica de seguridad de la información desde las creencias personales y las realidades corporativas.  

Referencias            

Andreu, R. (2014) Huellas. Construyendo valor desde la empresa. Barcelona, España: Ed. Dau.

Bililies, T. (2015) How to be a great leader in a complex world. Recuperado de: https://agenda.weforum.org/2015/01/great-leader-in-complex-world/

Bustamante, G., De Zubiría, S., Bacarat, M., Graziano, N., Marín, L., Gómez, J. y Serrano, E. (2004) El concepto de competencia II. Una mirada interdisciplinar. Bogotá, Colombia: Alejandría Libros.

Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf

Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes. Teoría y práctica. Colección Educación en Valores. Madrid, España: Octaedro OEI.

Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.

IBM (2013) Characteristics of highly effective security leaders. Recuperado de: http://www.ibm.com/ibmcai/ciso

Morgan, G. (1998) Imágenes de la organización. Santafe de Bogota, Colombia: Alfaomega.

Ponemon (2014) Informe mundial 2014 sobre el costo del crimen cibernético. Patrocinado por HP Enterprise Security. Recuperado de: http://www8.hp.com/co/es/software-solutions/ponemon-cyber-security-report/

Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20Security%20Research%20Report.pdf

Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A General living systems theory perspective. Information Security for South Africa (ISSA) 13-14 August. 1-8.

Tobón, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo, didáctica y evaluación. Cuarta edición. Bogotá, Colombia: Ecoe Ediciones.