Introducción
Ante un mundo
volátil, incierto, complejo y ambiguo (VICA) (Johansen, 2009), el CISO (Chief Information Security Officer) debe desarrollar la habilidad
de mantenerse atento para identificar anomalías, contradicciones y rarezas,
cosas que desafíen sus patrones familiares y difieran de lo que conoce o cree,
sólo así podrá educar su percepción y exploración del entorno para advertir
realidades emergentes y establecer nuevos paradigmas en contextos desconocidos
o no imaginados.
En este
ejercicio, el CISO pone a prueba su capacidad para ver diferentes realidades y
desconocidos puntos de vista para retar su perspectiva actual y así abrir
nuevas posibilidades de entendimiento de su entorno. De esta forma, el
ejecutivo de seguridad de la información podrá ver pronto tendencias de manera
anticipada que le permitirán confrontar sus modelos de gobierno y alimentar,
bien enfoques probados previamente para lograr cosas nuevas, o darle forma a
conceptos novedosos que recombinen información disponible, para advertir
tendencias aceleradas, eventos extraordinarios y alertas tempranas (Charan
2015, p.51-54).
Si luego de
esta reflexión, el CISO advierte una señal de un cambio significativo en su
entorno, debe proceder a imaginar cómo puede tomar ventaja de esa nueva
realidad, cómo puede capitalizarlo en la lectura de su modelo de gobierno y de
operación, probando sus percepciones con otras personas, especialmente con
aquellas que tiene puntos de vista contrarios; siguiendo eventos políticos
relevantes alrededor del mundo (regulaciones y propuestas normativas) y mirando
los posibles impactos para su gobierno, identificando modelos de negocio
emergentes en otras industrias para entender sus implicaciones y anticipar sus
estrategias en el contexto de la protección de la información, entre otras
acciones (Charan 2015, cap.7).
Por tanto, el
CISO no solamente deberá conocer la dinámica de los negocios en sí misma, sino
las condiciones y perturbaciones claves que pueden comprometer la viabilidad de
la organización en el mediano y largo plazo, como quiera que no hacerlo, lo
margina de las conversaciones estratégicas de la empresa y lo separa de la
agenda que maneja la junta directiva. No solamente cumplir con lo especificado
en los estándares de protección de la información hace relevante la labor del
CISO, sino su capacidad para leer el entorno de negocio y actuar en
consecuencia.
En este
sentido, este documento plantea algunas estrategias claves para que el
ejecutivo de seguridad de la información haga una lectura de su entorno de
manera cuidadosa, con el fin de proteger el valor de los activos de información
estratégicos para la empresa y advertir los posibles bloqueos que se pueden
presentar cuando la incertidumbre, el miedo y las dudas lo asalten en las
decisiones que debe tomar en medio de la penumbra de los hechos y las
tendencias que se le presenten.
Enfrentado la incertidumbre
En este
contexto complejo y asimétrico, el CISO al contrario de otros ejecutivos de la
empresa, no debe buscar evitar el riesgo, sino hacer evidente que el riesgo es
parte inherente del negocio corporativo y por lo tanto debe ser gestionado y
que en algún momento la inevitabilidad de la falla se hará presente, con los
costos que esto implica y las lecciones aprendidas que se derivan de ello (Charan
2015, 110). Esto supone que el ejecutivo de seguridad de la información debe
desarrollar mecanismos sistémicos y disciplinados para detectar y anticipar
amenazas y riesgos para tomar acciones anticipadas primero que los otros como se observa en la figura 1.
Figura 1. Tratamiento de la incertidumbre en seguridad de la información
Así las cosas,
el planteamiento de escenarios (Casey
y Willis, 2008), basados en posibilidades y probabilidades de eventos que
pueden darse en una industria particular y las implicaciones que se tienen para
la protección de la información, es una de las herramientas que se pueden usar
para advertir situaciones de manera anticipada. Esta práctica demanda una
exigencia de consulta permanente de tendencias y novedades que le permita al
ejecutivo de seguridad de la información configurar vistas emergentes para
concretar estrategias de manera anticipada que den cuenta de dichos movimientos
del entorno y establezcan una posición privilegiada de la organización, desde
el punto de vista de protección de la información, que anticipe las nuevas
propuestas de los negocios.
Otra forma de
mantener la percepción aguda es el uso de la ventana de AREM (Cano, 2014), un instrumento que permite una vista
sistémica de amenazas y riesgos emergentes, donde se funden en una sola vista
las posibilidades y las probabilidades. Este instrumento, propone un reto de
convergencia de análisis del entorno en cuatro dimensiones a saber: riesgos
conocidos, riesgos latentes, riesgos focales y riesgos emergentes.
La ventana de AREM permite una lectura
crítica y relevante para ejecutivo de seguridad de la información como quiera
que es una forma de hacer una exploración de las tendencias del entorno, las
cuales le advierten sobre elementos que pueden ser usados a la ofensiva contra
las organizaciones y las posibles anomalías que se detectan en el ambiente, que
son potencialmente fuente de acciones no autorizadas que pueden crear
condiciones inesperadas y disruptivas para la operación de las empresas.
Una estrategia
de inteligencia estratégica clave para advertir y detallar amenazas en el
entorno son los indicadores de compromiso
(Andress, 2015), los cuales permiten documentar una amenaza de manera
consistente, proveen un conjunto de datos que pueden ser automatizados para
consultas y tratamientos especializados, y provee respuesta a preguntas como el
archivo analizado es malicioso, la IP analizada ha sido vista en el pasado,
cómo fue posible la infección informática y finalmente si efectivamente hubo
una brechas de seguridad confirmada.
Si bien los
indicadores de compromiso no son una bola mágica que predice la aparición de
amenazas en el entorno, si es una fuente potencial de análisis de
comportamientos y posibles ataques, que permitan alimentar y enriquecer
escenarios que permitan una vista más real y concreta de los atacantes y sus
capacidades de acción.
Adicional a las
tres propuestas anteriores y no menos importante, se sugiere considerar la
creación de una cultura de curiosidad
intelectual de aprendizaje y exploración (Charan 2015, p.76-77), que
permita desarrollar un entorno confiable y psicológicamente seguro, donde el
error no es ocasión de castigo o marginación, sino de oportunidad y audacia,
para proponer sesiones donde las tendencias, ideas y propuestas encuentran un
lugar para ser revisadas, debatidas y conectadas.
Encontrar
puntos singulares de posibles retos para la empresa en su entorno de negocios,
tecnologías en desarrollo y con grandes potenciales, y capacidades especiales
desarrolladas por empresas emergentes, revelan contextos donde la información
es un activo clave que debe ser adecuadamente tratado y protegido, como fuente
de diferenciación estratégica para el futuro de la empresa.
Esta propuesta,
establece contar con un conjunto de profesionales que de manera permanente
están observando el entorno, explorando impactos, calibrando los lentes de las
personas, formulando hipótesis y descubriendo alertas tempranas para motivar
acciones que nutran el ejercicio de gobierno de la seguridad de la información,
no como un programa que busca alcanzar certezas en sus propuestas e
indicadores, sino caminos alternos basados en las observaciones y tendencias
identificadas, que conecten con los objetivos estratégicos de la empresa a
través de las turbulencias y asimetrías propias de su sector de negocio.
Bloqueos de un CISO
Pese a todo lo
anterior, muchas veces el CISO puede tener poca tolerancia frente a la ambigüedad,
limitando su capacidad de acción y aferrándose a sus certezas, que si bien en
muchas ocasiones le han servido para dar respuesta a situaciones conocidas, no
son las más adecuadas hoy para tratar con la condición incierta a la cual se
enfrenta en este momento.
En este
sentido, el responsable ejecutivo de la seguridad de la información enfrenta
bloqueos en sus actuaciones, los cuales se han instalado en sus referentes
conceptuales a lo largo de sus años de ejercicio profesional, estableciendo “verdades”
que dolorosamente no le permiten moverse con las tendencias y novedades que se
presentan en la práctica de protección de la información en entornos
convergentes y con servicios distribuidos.
Considerando las
reflexiones de Charan (2015, p.106) sobre bloqueos en la toma de decisiones de
los altos ejecutivos de las empresas, podemos detallar a continuación algunas
consideraciones sobre éstos, aplicados a los responsables de la seguridad de la
información.
Los bloqueos de
los CISO están asociados con algunas condiciones personales, capacidades de su
equipo y tolerancia al error. En consecuencia los bloqueos más relevantes son:
·
Apego a sus competencias claves actuales
·
Inhabilidad para construir nuevas competencias
·
Temor al error
·
Evitar la confrontación
·
Obsolescencia de su personal clave
El apego a sus
competencias claves actuales, se manifiesta generalmente por su adherencia,
muchas veces obsesiva a los estándares y prácticas, fundadas en las normas ISO
(Weise, 2015), que si bien son importantes y útiles referentes para mantener la
operación virtuosa de la protección de los activos digitales, no son los
conceptos requeridos para gobernar en medio de la incertidumbre. No es posible
alcanzar un ejercicio de gobernabilidad valioso, sólo fundado en estándares, se
hace necesario construir un marco de actuación alineado con el entorno agreste
y multiforme donde operan los negocios empresariales.
Si bien es
cierto que debemos contar con competencias básicas de protección de la
información y haber logrado importantes avances en la aplicación de los mismos,
se hace necesario desarrollar nuevas competencias para explorar e indagar en
medio de la niebla de los negocios y allí encontrar nuevas oportunidades, que
creen incertidumbre a los otros que lleguen después. Esto generalmente incomoda
al CISO, pues implica sacarlo de la zona cómoda e instalarlo como analista y
explorador de escenarios ajustados a los retos de los negocios.
El entorno
actual, divergente e incierto, no permite tener planos ni destinos
completamente claros y muchas veces habrá que avanzar aún en medio de la
niebla. Esta posibilidad aumenta la probabilidad de error, la cual deberá ser
capitalizada por el CISO y su junta directiva, para construir cada vez sobre la
sabiduría de la falla, y no generar la rutina destructiva de buscar culpables y
desviar la atención sobre la sanción que merecen aquellos que actuaron.
Cuando el CISO
establece un rumbo y acciones que puedan resultar en restricciones o
limitaciones para los negocios, la confrontación de las diferencias será la
regla natural que deberá aplicar en sus conversaciones. En la controversia
existe la bondad de las miradas encontradas que debe servir para “ver” lo que
no es evidente y conocer el punto de vista de aquellos que estudian la realidad
con lentes diferentes a los del CISO. La diferencia es una ventaja estratégica,
que inicialmente puede ser incómoda, pero bien canalizada es una fuente de aprendizaje
para reconocer nuevas oportunidades.
El CISO
consulta e indaga sobre múltiples aspectos de la realidad empresarial y convoca
a las personas claves en los diferentes negocios, para establecer un referente
de análisis que le permita hablar el lenguaje de la estrategia corporativa.
Cuando ese
conocimiento experto se deteriora, es decir, no le genera expectativas claras
sobre el negocio y lo mantiene en la zona cómoda, se compromete la capacidad de
anticipación del ejecutivo de seguridad de la información. Se hace necesario
adquirir nuevos insumos de experiencia empresarial para encontrar variaciones y
asimetrías que le permitan ver las cosas con mayor precisión, pensar más
creativamente y actuar con mayor determinación.
Reflexiones finales
El responsable
de seguridad de la información sabe que no es posible eliminar completamente la
incertidumbre, que la inevitabilidad de la falla de una u otra forma lo va
alcanzar y por tanto, el tribunal de los incidentes será recurrente en su
trayectoria como gerente de la protección de los activos de información. Por
tanto, conociendo que estará enfrentado
a desconocer lo desconocido, es decir condiciones, riesgos y amenazas que ni
siquiera sabe que existen, deberá hacer su mejor juicio para construir confianza
en la construcción y desarrollo de su estrategia.
Establecer las
tendencias, desarrollar escenarios, identificar amenazas y riesgos, son
elementos claves que deben hacer parte del conjunto de herramientas
conceptuales y práctica de un CISO para atravesar el valle de lo incierto y las
presiones de los negocios para ganar agilidad en su posicionamiento en el
mercado.
Las tecnologías
de información y las comunicaciones con su vertiginoso desarrollo, establecen
un marco de referencia divergente que ubica al CISO entre la necesidad de
compartir y evolucionar en el desarrollo de sus prácticas de protección, con
las exigencias concretas de regulaciones que demanda cumplimientos estrictos de
controles regulatorios que no pueden ser violentados, so pena de sanciones y
compromisos de imagen de las empresas.
En este
sentido, no es solamente el balance que se requiere para dar cuenta de esta
condición previamente comentada, sino la capacidad propia del ejecutivo de
seguridad de la información para reinventar sus marcos conceptuales y prácticas
para revertir la comodidad que producen los estándares, y crear propuestas que
generen las condiciones de uso y control de la información acordes con la
dinámica de los negocios; esto es motivar incertidumbre sobre lo que se conoce
y aplica en seguridad de la información.
En razón con lo
anterior, el CISO y sus decisiones deberán estar articuladas desde la
incertidumbre, para construir el camino que lleve a la organización a alcanzar
la velocidad de crucero que requiere para llegar primero a las nuevas
posiciones privilegiadas de su entorno y crear la inestabilidad necesaria que
aumente su condición exclusiva entre sus competidores.
Así las cosas,
el CISO deberá identificar las acciones claves que debe tomar para conectar los
puntos asimétricos que proponen las tendencias y amenazas, para crear una vista
enriquecida que aclare el camino de la estrategia corporativa, protegiendo el
valor de sus activos estratégicos de información, no desde las certezas y
controles conocidos, sino desde las vulnerabilidades y la inevitabilidad de la
falla.
Referencias
Charan, R. (2015) The attacker’s
advantage. Turning uncertainty into breakthrough opportunities. New York,
USA: Perseus Books Groups.
Weise, J. (2015) Using a governance tool. ISSA Journal. 13, 5. 34-37.
Andress, J. (2015) Working with indicators of compromise. ISSA Journal. 13, 5. 14-20.
Casey, T. y Willis, B. (2008) Wargames: Serious play that test Enterprise
security assumptions. Intel Corp. Recuperado de: http://www.sbs.ox.ac.uk/cybersecurity-capacity/system/files/Intel%20-%20Wargames-%20Serious%20Play%20that%20Tests%20Enterprise%20Security%20Assumptions.pdf
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y
táctica para visualizar la incertidumbre. Actas
de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante,
España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World, San Francisco, Berrett-Koehler Publishers.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World, San Francisco, Berrett-Koehler Publishers.
No hay comentarios:
Publicar un comentario