Introducción
En un mundo
interconectado, con un cambio acelerado de mentalidad, con una densidad digital
creciente (Káganer, Zamora y Sieber, 2013) y con una invasión permanente de artefactos
digitales (Ullrich, 2015), la seguridad de la información no tiene más salida
que repensarse y transformarse para atender los retos de la convergencia
tecnológica.
Lo anterior
supone que debe sospechar de la manera como actualmente entiende el mundo y dar
el paso para cambiar el marco de referencia desde donde viene dando sus
explicaciones. Las certezas que se buscaban en la aplicación estándares
conocidos, comienzan a ser confrontadas por una incertidumbre estructural que
revela tendencias y posibilidades, cuyos efectos aún no se han podido calcular.
Así las cosas,
se hace necesario aumentar la capacidad de asombro de los ejecutivos de
seguridad de la información, para que puedan leer en las situaciones de vulnerabilidad
y error, la posibilidad para plantear coberturas inexistentes en los marcos de
riesgos y controles y así, continuar su permanente postura de estudiantes de la
inseguridad, siguiendo como libro guía la dinámica de la organización y sus
relaciones con el entorno.
En este
sentido, se detalla en este artículo algunas consideraciones relevantes ente
gestión y gobierno como una excusa académica para dar cuenta de las condiciones
y exigencias de ambos conceptos, los cuales, revisados en la práctica de seguridad
de la información, consolidan una postura complementaria que introduce
competencias novedosas para aquellos que han decido aceptar el tribunal natural
de los incidentes de seguridad con decoro y altura y así, demostrar que la
confianza sólo es posible cuando soy capaz de reconocerme débil y necesitado.
Conceptualizando la gestión y el gobierno
En la
actualidad hay expresiones que nos hablan de la forma como estamos enfrentando
el reto de dirigir y movilizar organizaciones, para que alcancen sus objetivos,
muchas veces usando indistintamente los términos, sin advertir las diferencias
conceptuales subyacentes en cada una de ellas. Gestión y Gobierno, son dos de
esas palabras que han sido utilizadas de manera intercambiada, lo cual ha
generado lecturas, muchas veces inadecuadas, de las actividades propias de cada
uno de estos conceptos.
Si miramos la
gestión, estamos recabando en actividades que buscan disminuir la incertidumbre
y hacer predecible los resultados de un proceso. La gestión trata de alinear la
ejecución de las actividades respecto de un referente y sus entregables, para
motivar una ejecución de excelencia que esté mediada por una verificación y
mejora continua para asegurar el menor número de defectos en el desarrollo de
sus actividades.
Un modelo de
gestión, es un reto táctico, es un reto de aseguramiento de comportamientos, de
actividades y estándares, que nos indican la mejor forma de hacer las cosas.
Cumplir con los requisitos mínimos de este hacer, nos permite enfocarnos en
alcanzar resultados concretos de manera ágil y con el menor nivel de
desviaciones, las cuales necesariamente comprometen el resultado y advierten
una falla en los entregables previstos.
Ejemplos
concretos de esta vista de la gestión están representados en los modelos Deming
(PHVA) en 1952, Malcolm Baldrige en 1987 y EFQM en 1992. La aplicación de todos
estos modelos ha permitido a grandes empresas alcanzar niveles de excelencia en
la ejecución y logro de sus objetivos corporativos. Sus prácticas
estandarizadas aseguran que las personas de las organizaciones cumplen una
serie de requisitos que llevan a los resultados esperados. No tener prácticas
referentes como estas, nos aleja de un ejercicio virtuoso de gestión que
fomente la formación de una cultura de aseguramiento y cumplimiento que mantiene
la vista exitosa de las empresas modernas.
Un modelo de
gestión en general desarrolla en su interior un ciclo fuerte de regulación
(Hoverstadt, 2008), que busca cercar la incertidumbre y las dudas, para hacer
previsible los resultados, motivando ante las desviaciones, un análisis
causa-raíz que activa el fundamento de la mejora continua. La fortaleza de la
regulación les da a las personas en su ejecución mayor sensación de control y
predictibilidad que hace que se disminuyan las tensiones por el resultado, como
quiera que si se cumple con lo especificado en la lista de actividades
estándares, no habrá duda para tener efecto deseado.
Mientras los
modelos de gestión, a través de actividades concretas y específicas, aseguran
los entregables previstos, los modelos de gobierno se fundan en medio de la
incertidumbre para tratar de navegar en medio de tensiones, intereses y
presiones políticas para alcanzar su misión: conducir la nave que tiene a
cargo, a través de caminos inciertos e inesperados, para lograr los objetivos
propuestos, privilegiando el bien general sobre el bien particular.
Las juntas
directivas son eminentemente políticas, es decir, confrontan de manera
permanente los embates de las fuerzas contradictoras de los participantes de un
sector, para posicionar a la organización en lugares privilegiados, explorando
su entorno, no para dejar que el ambiente moldee sus destinos, sino crear
nuevas propuestas que cambien su entorno. Así las cosas, los miembros de junta
deben revestirse de habilidades particulares para leer con sabiduría las
alertas de su ambiente, analizar las posibilidades y catalizadores claves, en
pocas palabras tener el olfato para ver realidades emergentes y percepción
aguda para dar cuenta de las nuevas condiciones del entorno.
Los modelos de gobierno
se concentran en los ciclos de adaptación (Hoverstadt, 2008), en la forma como
son capaces de ver el afuera y el mañana, bien para confirmar la identidad de
la organización, o para proponer los cambios requeridos que le permitan
mantenerse en el largo plazo. En consecuencia, los ejecutivos de primer nivel
deben mantener una mente curiosa, flexible, concentrada en el futuro, centrada
en las oportunidades, abierta las contradicciones y dispuesta a conectar los
puntos, para cambiar el rumbo de los acontecimientos en su organización y crear
la nueva propuesta en su entorno que defina y confirme el nuevo y jugador
estratégico que es en este contexto (Collis, 2010).
Por lo
anterior, a diferencia de los modelos de gestión, los modelos de gobierno están
fundados sobre el tratamiento y comprensión de la incertidumbre, en la vista
global y sistémica de las cosas, con el fin de leer las alertas tempranas de su
ambiente y así provocar nuevas ideas recombinando la información disponible, en
búsqueda de anomalías, contradicciones o rarezas (Charan, 2015). En este
ejercicio, la sabiduría del gobernante estará en poder advertir y discernir los
diferentes ángulos de reflexión disponibles para darle forma al nuevo camino
que debe emprender la empresa.
Tabla
No.1 Gestión y Gobierno (autoría propia)
Gestión y gobierno en seguridad de la
información
Basado en la
reflexión conceptual previa relacionada con la gestión y el gobierno aplicado
de manera general en una empresa, procedemos a indagar sobre esta misma
temática desde las prácticas de la seguridad de la información.
Los estándares
conocidos como la serie 27001 y las guías del NIST respecto de la seguridad de
la información, cumple con lo establecido en las características de los modelos
de gestión referenciados en la Tabla No.1, como quiera que la declaración de
aplicabilidad nos establece los focos que debemos asegurar para motivar un
comportamiento diferente y ajustado a lo que la organización espera de la
seguridad de la información, que en general responde a un imaginario donde los
incidentes son las manifestaciones de la debilidad de modelo y revelan las
fallas de la gestión que deben ser corregidas y aseguradas desde el
mejoramiento continuo.
En este
sentido, en un entorno volátil, incierto, complejo y ambiguo (VICA), el modelo
regulatorio nos permite continuar operando al interior de la empresa, de una
manera virtuosa y organizada, no obstante se queda corto para leer y avanzar en
medio de la condiciones inesperadas del ambiente, generando un proceso reactivo
y postmortem, que recompone sus prácticas sólo cuando las desviaciones hacen su
aparición y se ajustan luego de un análisis causa raíz.
Por tanto, el
gobernante de la seguridad de la información debe leerse a sí mismo como un estudiante
permanente de la realidad circundante, que sin descuidar la ejecución virtuosa
de las prácticas de seguridad y control basada en estándares, se apalanca en
pedagogías emergentes que van más allá de la adquisición de conocimientos o de
habilidades concretas, para ver en la inevitabilidad de la falla oportunidades
para lograr cambios significativos en la manera de entender su entorno; asumir
riesgos intelectuales no convencionales y transitar por caminos no trillados; y
encontrar el margen de tolerancia de las fallas que permita capitalizar
aprendizajes emergentes (lecciones aprendidas): aquellos no prescritos por los
saberes tradicionales (Gros, 2015).
Asumir un
gobierno de la seguridad de la información cumpliendo con las características
expuestas en la figura No.1, demanda la formulación de una serie de
competencias complementarias a las técnicas, de comunicación, asertivas y de
ventas, propias y necesarias en el ejecutivo de seguridad de la información,
para delinear un discurso eficaz y sensible al escenario político de las juntas
directivas, que intervenga la dinámica de las reflexiones sobre el futuro de la
organización, para crear quiebres conceptuales sobre la estrategia empresarial
desde la realidad de aquello clave y sensible que otros quieren de la empresa.
Las
competencias complementarias sugeridas en este sentido son: (Cano, 2015)
· Desarrolla pensamiento crítico para analizar y
seleccionar los modelos y prácticas de seguridad de la información, más
adecuados, considerando los objetivos estratégicos del negocio y las
expectativas de la alta gerencia.
· Establece y prioriza las amenazas y riesgos de
seguridad de la información para diagnosticar, evaluar y comunicar el nivel de
exposición de la empresa, a través de métodos tradicionales y modernos
considerando la dinámica del entorno actual.
· Monitoriza la promesa de valor del modelo y
prácticas de seguridad de la información para tomar las decisiones oportunas y
pertinentes requeridas, considerando las desviaciones o lecciones aprendidas
tanto de los incidentes de seguridad como de los cambios del entorno.
· Negocia y establece con los ejecutivos
corporativos las estrategias de rendición de cuentas del programa de seguridad
de la información para identificar y seleccionar los escenarios y las métricas
más adecuadas considerando las prácticas y estándares relevantes en la gestión
de seguridad de la información.
· Desarrolla una visión estratégica y táctica de
la seguridad de la información en el contexto empresarial, para anticipar y
renovar los modelos y prácticas de seguridad y control considerando los retos
corporativos de mediano y largo plazo, así como los impactos de las amenazas y
riesgos emergentes identificados.
El gobierno de
la seguridad de la información necesariamente requiere ir a la ofensiva, a la
lectura permanente del entorno y alcanzar posiciones estratégicas en
situaciones inesperadas, pues quedarse a la defensiva (ciclo de regulación
basado en estándares) implica retroceder en sus retos y exigencias corporativas
para crear escenarios valiosos para la visión empresarial de mediano y largo
plazo.
No es posible
advertir un gobierno de la seguridad de la información basado exclusivamente en
un ciclo de regulación, cuando la realidad circundante nos advierte constantemente de alertas y signos de cambios
y contradicciones que ponen en evidencia la incertidumbre, las debilidades y las
fallas de nuestros modelos conceptuales. Así las cosas, es necesario comprender
la vista complementaria expuesta en la tabla No.1 donde el gobierno, ante todo,
es una búsqueda permanente de nuevos retos y estándares de excelencia que
propone un camino para posicionar una visión en medio de contradicciones,
inestabilidades y rarezas propias del entorno.
Reflexiones finales
Queda claro que
el ciclo de regulación no es suficiente para dar cuenta con el escenario VICA
que tenemos a la fecha. De igual forma, se hace manifiesto que el ciclo de
adaptación establece de manera complementaria la vista requerida para aumentar
la capacidad de respuesta de las organizaciones respecto de su ambiente.
Así las cosas, la
gestión y el gobierno son realidades complementarias que habilitan a los
ejecutivos empresariales no sólo a velar por los indicadores de sus procesos,
sino por la forma de observar las relaciones actuales y emergentes, con el fin
anticipar escenarios posibles y probables que pueden afectar y transformar el
imaginario vigente en la cultura de la empresa.
Hacer la
lectura de estos dos conceptos en el contexto de la seguridad de la
información, motiva la necesidad de un entendimiento alterno e introduce
reflexiones más elaboradas sobre el gobierno de la seguridad de la información,
que liberen al responsable empresarial de la seguridad de la información de las
presiones propias de la pedagogía del éxito y las reemplace por las
experiencias enriquecidas y novedosas que se adquieren desde la pedagogía del
error (De la Torre, 2004).
En este
contexto, la confianza que requiere la información, no estará asociada al
cumplimiento de requisitos de aplicabilidad, ni en la manera como se cierran
las brechas de gestión identificadas, sino a las oportunidades de nuevos
entendimientos y conocimientos que podemos explorar por la revelación de una
falla, lo que genera un insumo valioso para transformar la práctica actual y
realimentar el circulo virtuoso donde corren las normas ISO y sus similares.
Cuando nos
encontramos con una reflexión convergente y sistémicamente provocadora como lo
es la esencia del gobierno, en los términos de este artículo, se descubren
realidades anidadas que requieren un análisis en profundidad de sus relaciones,
para luego devolvernos y realizar un diagnóstico que no estará aislado de las
condiciones del entorno, sino que podrá dar razón de los planes de la organización
para leer los activos de información relevantes de su operación en clave
estratégica, esto es, dibujar la vista global pertinente para los objetivos de
la empresa y así, priorizar las acciones necesarias y negociar los elementos
requeridos para actuar en consecuencia.
Por tanto, el
gobierno de la seguridad de la información demanda una puesta a tono de los
talentos en el ejecutivo de seguridad de la información, como quiera que sólo
en la incertidumbre, la debilidad y las fallas puede encontrar la tensión
creativa permanente que lo mantenga atento a los resultados de la gestión y
concentrado en la transformación y posicionamiento empresarial, creando
posiciones disruptivas que anticipen y aprovechen posibles singularidades de la
inevitabilidad de la falla.
Referencias
Charan, R. (2015) The attacker’s advantage. Turning
uncertainty into breakthrough opportunities. Philadelphia, USA: Perseus
Books Group.
Goodman, M. (2015) Future crimes. Everything is connected,
everyone is vulnerable and what we can do about it. New York, USA:
Doubleday.
Collis, D. (2010) Thinking strategically. Pocket Mentor. Boston,
USA: Harvard Business Press
Gros, B. (2015) La caída de los muros del conocimiento en la sociedad
digital y las pedagogías emergentes. Revista
Education Knowledge Society. 16, 1,58-68.
Cano, J. (2015) Anotaciones sobre las competencias de los responsables
de la seguridad de la información. Un ejercicio de resiliencia personal y
supervivencia corporativa. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2015/02/anotaciones-sobre-las-competencias-de.html
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder
digital. IESE Insight. No.18. Tercer
trimestre.
Ullrich, J. (2015) New
cyberthreats: Defending against the digital invasion. Abril. Recuperado
de: http://searchsecurity.techtarget.com/feature/New-cyberthreats-Defending-against-the-digital-invasion
Hoverstadt, P. (2008) The fractal organization. Creating
sustainable organizations with viable system model. Chichester, West
Susex. UK: John Wiley & Sons.
De la Torre, S. (2004) Aprender de los errores. El tratamiento didáctico de los errores como estrategias innovadoras. Buenos Aires: Ed. Magisterio del Río de la Plata.
No hay comentarios:
Publicar un comentario