Introducción
Los desafíos de las empresas modernas, inmersas en la dinámica de un
mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), con flujos de
información semiautomáticos (y automáticos), instantáneos y constantes,
establece una referencia de los retos y exigencias que los ejecutivos de las
empresas tienen respecto de la protección del valor de las corporaciones ad portas de concluir la segunda década
del nuevo milenio.
La información cada vez más se convierte en la moneda real (no virtual)
que representa los intereses de las empresas y sus credenciales para fundar
nuevas posibilidades de mercados y oportunidades, que le permitan posicionarse
y abrir nuevas fronteras en sus capacidades para crear movimientos disruptivos
que afecten la estabilidad de sus sectores de negocio u otros emergentes. En
este escenario, las prácticas de seguridad y control de la información no
pueden seguir concentradas (exclusivamente) en los controles de acceso y deben
evolucionar con la dinámica social propia de las organizaciones de este nuevo milenio.
En este sentido, los programas de seguridad de la información y aquellos
relacionados con la privacidad o protección de los datos personales, deben
consultar la dinámica social de la empresa, la forma como se entiende la
información y los significados que ella tiene para los empleados y
colaboradores de la organización. Amén de lo anterior, las iniciativas de
protección que se decidan implementar deben estar fundadas en ese tejido de
conversaciones identificado para conjugar las prioridades empresariales con
estrategias socialmente significativas y válidas, que aumente la efectividad de
las propuestas técnicas livianas, sencillas y efectivas.
Frente a esta realidad cambiante de las relaciones sociales y las
condiciones del entorno empresarial, se hace necesario conceptualizar algunos
dilemas propios de la seguridad de la información (igualmente aplicables a la
privacidad de los datos) que procuren fundar una agenda de investigación de
mediano y largo plazo, que ofrezca luces sobre la forma como se deben articular
los esfuerzos corporativos desde el tenor de los procesos y las lecturas
concretas de las personas sobre el aseguramiento de la información, y así complemente
los esfuerzos que en el contexto tecnológico y de prácticas técnicas emergentes
se vienen efectuando.
Los dilemas son posiciones encontradas, naturales y propias de las
relaciones humanas, así como de las situaciones y actuaciones excepcionales que
se pueden tener en el contexto de la operación de un proceso organizacional o
en la vida en general. De esta forma, se busca ilustrar las posiciones que se
advierten en el escenario de la protección de la información y establecer
provocaciones académicas y prácticas que abran rutas alternas de discusión y
cambien la dinámica de las discusiones actuales alrededor de los temas de
seguridad y privacidad de la información.
Así las cosas, este documento establece un conjunto de cinco (5) dilemas
de la seguridad y privacidad de la información como una plataforma académica
que permita comprender los referentes actuales sobre la protección de la
información y promueva una mayor comprensión de la inevitabilidad de la falla
desde diferentes tensiones provocadas por la imaginación e imaginarios de los
individuos y sus posibilidades.
Figura 1. Dilemas en la protección de la información
Dilema No.1 - Funcionalidad y
seguridad, uno implica el compromiso del otro.
Este primer dilema es una discusión que ha acompañado a la seguridad de
la información desde sus inicios. Para algunos, esta situación ha sido una
realidad donde encontrar el famoso punto medio no ha sido fácil y continúa
siendo uno de los retos donde tanto empresarios como especialistas en
protección de la información no establecen puntos de encuentro.
Cuando se privilegia la
funcionalidad sobre la seguridad en los diferentes ámbitos de la vida empresarial, es
claro que habrá mayor movilidad y celeridad para tomar decisiones, sabiendo que
habrá riesgos (algunos conocidos y otros no) los cuales serán asumidos por la
corporación si se llegan a materializar. En un mundo de cambios constantes,
moverse a la velocidad del mercado es una virtud y ventaja, que todos quieren
alcanzar, como quiera que quien primero lograr conquistar la dinámica del
entorno, es el que tiene el sitio más privilegiado para actuar y tomar posición
de las oportunidades.
Cuando es la seguridad es la
escogida, la
organización entiende que tendrá que establecer protocolos y formalidades que
le darán una mayor capacidad y fortaleza en sus actuaciones. Estará menos
expuesta a los vaivenes de los escenarios adversos y si algo no esperado
ocurre, tendrá la capacidad de responder y sobreponerse, limitando sus posibles
pérdidas y movilizando sus estrategias para posicionarse en medio de la crisis,
cuando otros sólo pueden estar concentrados en atender la situación no prevista
y perder de vista el movimiento del entorno.
Si la respuesta es que se
requieren la dos, cada uno deberá ceder parte de su protagonismo y limitar sus
posibilidades. Bien dice la sabiduría popular, que “no podemos tener lo mejor
de los dos mundos” y, por tanto, habrá concesiones que cada distinción deberá
hacer y por tal motivo la propuesta final estará limitada en su ejecución y
habrá que mirar, de las alternativas y posibilidades que se han eliminado, cuánto
es capaz de aceptar y operar tanto una organización como las personas, sabiendo
de antemano el nivel de exposición al riesgo que esta decisión implica.
En esta encrucijada, se advierte un rango de posibilidades y tonos de grises
que pueden ser explorados y explotados por las empresas, para privilegiar
decisiones que aumenten bien la resiliencia de las empresas y sus procesos, o
bien se lancen a conquistar entornos altamente dinámicos e inestables,
asumiendo riesgos operativos y estabilidades empresariales, los cuales si salen
como lo han planeado, pueden alcanzar importantes posicionamientos estratégicos
o por el contrario, aterrizajes forzados que afecten la viabilidad de la
empresa en el mediano y largo plazo.
Tomar posiciones extremas en estas temáticas, dejan de lado el buen
criterio del “hombre negocios”, el cual debe velar por una visión equilibrada y
ajustada a la realidad, que le permita a la empresa, asumir su liderazgo en el
contexto de su sector negocio y mantener el debido cuidado que caracteriza a
todos aquellos que han entendido el reto de la protección de la información.
Dilema No. 2 - Costos e
inversiones en seguridad, una realidad implica la dinámica de la otra.
Bajo este dilema encontramos la tensión propia de las decisiones sobre
la protección de la información. Estas decisiones están generalmente fundadas
en el imaginario que las juntas directivas tienen de la temática. Mientras el
imaginario de la seguridad y el control se encuentre en el campo de la operación,
el tema será costo que debe ser optimizado y tener lo estrictamente necesario.
Si la vista de la seguridad es
costo, la
lectura de la información y su protección no pasará de ser un tema del área de
tecnología, donde son ellos los responsables de proteger los flujos de
información con la incorporación de soluciones tecnológicas. Si algo se sale de
los límites establecidos y los controles fallan en su aplicación, las
explicaciones deberán darlas los personajes de tecnología de información. La
responsabilidad por la protección de la información está en manos de los
“técnicos” y los “juguetes caros” que requieren deben ser bien seleccionados y
medidos, para ver con claridad su efectividad. En este sentido la seguridad de
la información se vuelve un reto por alcanzar el ciento por ciento, aun cuando
en la realidad se tenga claro que no se puede.
Si la inversión es la lectura
que se hace de la seguridad, el imaginario de la junta directiva no está concentrado necesariamente
en la eficiencia de la misma, sino en el desarrollo de capacidades de mediano y
largo plazo. Una inversión generalmente se hace con margen de riesgo, con una
revisión en perspectiva, que le permite tener una vista de lo que puede
ocurrir. Ninguna inversión se hace sin riesgo y en seguridad de la información
no es la excepción. En esta lectura la seguridad es una apuesta de la
organización para aumentar su resistencia a los eventos inesperados y abrir la
oportunidad para la preparación para actuar de la mejor forma cuando algo no
previsto se manifieste.
Como todo en las organizaciones termina siendo un balance entre inversiones y costos, entre “Capex y Opex”, como
afirman los de finanzas, la seguridad de la información tiene una realidad
compleja para concertar (Krausz y Walker, 2013), pues entrar a medir su
efectividad basada en niveles de protección o efectividad de las plataformas
instaladas, no muestra con claridad la disminución de la incertidumbre del
entorno, sino la capacidad instalada para contener lo conocido. De igual forma,
las inversiones basadas en el nivel de riesgo proyectado, tienen la
inestabilidad de situaciones como las vulnerabilidades de “día cero” no
advertidas por los mejores pronósticos, que comprometen los mejores análisis
que se tengan disponibles.
Así las cosas, la vista de costos e inversiones en seguridad de la
información deberá estar asistida por el entendimiento de la inevitabilidad de
la falla, por un umbral permitido de riesgo, de falla y de situación incierta,
sobre la cual se construya una vista, que no puede ser estática, sino que debe
responder a una evaluación periódica de las tendencias estructurales vigentes y
emergentes que permitan afinar la brújula de la inversión requerida y así
actualizar los retos propios de los costos, muchos de ellos no solamente en artefactos
tecnológicos, sino en cambios de comportamientos humanos.
Dilema No.3 - La evolución de
las tecnologías de información y el cibercrimen, una bondad que puede ser
aprovechada por su contraparte.
Los avances tecnológicos establecen las nuevas fronteras del
conocimiento y las novedosas formas alternas de hacer que las cosas pasen.
Conforme la tecnología aparece y sus usos convencionales se revelan, existen
mentes asistidas por “el lado oscuro de la fuerza” que se preguntan por usos
“poco convencionales” de las soluciones tecnológicas, que violentan y quiebran
el modelo sobre el cual fueron concebidas para recrear nuevas posibilidades
que, cuando son utilizadas para fines positivos en la sociedad establecen
puntos disruptivos que cambian la forma de hacer la cosas, o de lo contrario,
crean contextos de zozobra e inquietud por los efectos contrarios que pueden
darle a su propuesta, afectando los derechos y dignidades de los individuos (Goodman,
2015).
Es claro que el hombre, como naturaleza caída, tiene la tendencia natural hacia aquello que no es
lo más generoso y santo, sin embargo en su lucha permanente con el
reconocimiento del otro, encuentra momentos que le permiten conectarse con esa
realidad y es allí, donde la tecnología puede favorecer los mejores instantes
para construir y desarrollar productos y servicios que cambien la forma de
hacer las cosas y crear condiciones de comunicación y encuentro superiores a
las que se tienen en el momento.
Sin perjuicio de lo anterior, las conductas contrarias a la ley y
aquellas que confrontan el orden establecido a través de artimañas informáticas,
que terminan afectando a los individuos en sus libertades y derechos,
establecen una referencia nueva para la sociedad y el derecho, que implica no
solamente comprender los acuerdos sociales de convivencia vigentes, sino las
técnicas que son utilizadas por los nuevos delincuentes informáticos para
desestabilizar la armonía y la concordia en medio de la sociedad. Sus
actuaciones, generalmente focalizadas con fines poco conocidos, dejan en
evidencia no sólo las fallas de las tecnologías, sino la debilidad y limitación
de los comportamientos humanos frente a los engaños e intimidaciones.
Mucho se podría hablar del cibercrimen, de la forma como actúa, de las
técnicas que utiliza para concretar sus acciones, elementos que ofrecería un
panorama amplio para conceptuar tendencias en este sentido (Medina y Molist,
2015), sin embargo no se alcanzaría a
dimensionar sus posibilidades como quiera que la creatividad e innovación son
prácticamente infinitas a la hora conjugar las intenciones del “lado oscuro
de la fuerza” como los nuevos desarrollos tecnológicos.
En este entendido, el cibercrimen es una propiedad emergente del sistema
social donde habita la humanidad, donde diferentes tipos de relaciones y
perfiles dan cuenta de los desarrollos tecnológicos como medios para fundar
nuevas oportunidades, muchas de ellas privilegiando el bien particular y no el
bien general. No podemos esperar que esta realidad propia de los conglomerados
sociales, se pueda eliminar por completo, pues estaríamos ante una contradicción
frente a la génesis del origen de la humanidad.
Por tanto, es necesario considerar aquellas acciones contrarias que el
cibercrimen pueda plantear, para efectuar una lectura diagnóstica de lo que
ocurre y enriquecer los nuevos discursos de “defensa activa” que aumente la
fortaleza y efectividad de los patrones de defensa y resiliencia que las
organizaciones requieren en un entorno agreste y contradictorio (Goodman, 2015).
Dilema No. 4 - Regulación e
innovación en seguridad, un reto de balance entre previsibilidad e
incertidumbre.
Ante la divergencia de escenarios y entornos de operación que las
empresas tienen a la fecha, y la necesidad de los mercados para tener una vista
homogénea de la forma como las organizaciones enfrentan la incertidumbre de sus
ambientes empresariales, las regulaciones y normativas aparecen como la
estrategia de entes globales o multinacionales para tratar de concretar un
conjunto de prácticas que les permitan valorar o medir la forma como una
empresa se comporta y maneja sus condiciones corporativas, que den la confianza
a sus inversionistas o motiven a otros a hacer nuevas apuestas en dicha
empresa.
Las regulaciones imponen una
forma particular de hacer las cosas, una práctica estándar que dice a los demás que
pertenecen al mismo “club” que se está actuando de la forma adecuada y con un
nivel de riesgo calculado. Cuando una empresa, se ajusta a las condiciones de
su regulador, establece un régimen de actuación que exige comportamientos
propios de las personas y acciones concretas cuando los procederes de los
individuos se desvían de lo previsto. Todo ello lo que busca es disminuir la
incertidumbre de las operaciones y aumentar la previsibilidad de los
resultados, habida cuenta que los inversionistas quieren estar tranquilos con
sus inversiones y la protección de sus intereses en la corporación.
Mientras las regulaciones demandan un cumplimiento de estándares de
seguridad y control, que muestren el debido cuidado de la empresa respecto de
los riesgos conocidos y validados desde la práctica internacional, las tendencias
desconocidas o emergentes quedan relegadas a ejercicios posteriores o muchas
veces inexistentes de las organizaciones. En este sentido, la innovación propia de la seguridad de la información, fundada en
el cuestionamiento de los supuestos de los estándares y el reto de los modelos
vigentes, es una práctica que se
convierte en una apuesta arriesgada que aumenta la probabilidad de error y
el compromiso de los controles actuales.
Mientras la regulación se funda un cumplimiento de una lista de controles
y el aseguramiento de su efectividad, es decir en una pedagogía del éxito,
donde el error es una situación contraria que compromete la efectividad de la
práctica establecida; la innovación se concentra en la sabiduría del error, en
la motivación de escenarios límite para probar y experimentar, donde la falla y
la vulnerabilidad abre espectros de aprendizaje y renovación antes ignorados
que fundan nuevas formas de entender el control y asegurar mejores niveles de
protección de la información.
Por tanto, conjugar la regulación con la innovación, demanda una vista
corporativa que sea flexible a la experimentación y pruebas de situaciones
novedosas que aumenten el entendimiento de las prácticas de los atacantes, con
una formulación abierta y de permanente actualización de la normativa
disponible, que desacople el cumplimiento los requisitos de exigencias
externas, como a base para continuar aprendiendo y fortaleciendo las prácticas
de seguridad y control internas de la empresa.
Dilema No. 5 - Recolección de
datos, control de armas y privacidad, implicaciones de un nuevo orden global.
Bien anotan Hagel, Brown y Wooll (2015) que no es fácil establecer los
patrones de las nuevas disrupciones, identificar lo que podría ser un disruptor
implica necesariamente explorar más allá de los límites de las tendencias
conocidas y asumir la incertidumbre como la maestra de aquellos que quieren
crear nuevas propuestas de valor. En este sentido, conquistar o revelar las
oportunidades del futuro significa tener claridad de una nueva mentalidad
digital (Schmidt y Cohen, 2014), que transforma todo lo que toca y posibilita
las caídas de barreras autoimpuestas que dejan al descubierto aquello que era
ignorado y ahora es relevante.
La mentalidad digital demanda
mirar al mundo conocido desde tres puntos clave: las regulaciones, la cultura y
la tecnología
(Raskino y Waller, 2015, p.47). Cada uno de ellos permite interconectar las
tendencias identificadas para crear un escenario posible, donde se pueda
construir distinciones inéditas que establezcan potenciales fuentes de
oportunidad para las empresas y movimientos de los mercados hacia zonas de
crecimiento inesperado.
Este es el caso de la nueva carrera armamentista que construye “ciber armas”
como fundamento de una posición vigilante y garante de las naciones frente a
una amenaza informática, que se mantiene latente y activa. De igual forma, la
recolección de datos a través de la red en diferentes puntos y países del
globo, en donde los temas de privacidad adquieren una relevancia particular,
como quiera que los derechos humanos y la protección de sus datos personales,
se encuentran enraizados en regulaciones que exigen tratamientos adecuados y
formales para sus titulares.
Estas tendencias tecnológicas,
políticas y sociales, establecen retos particulares para la seguridad de la
información y sus practicantes, como quiera que se advierten implicaciones claves en
la regulación, la cultura y la tecnología. Si bien los nuevos estados-nación
cuyas fronteras son imperceptibles en el contexto de lo digital, configuran
propuestas de seguridad y control en un dominio que aún no se conoce en su
totalidad, las regulaciones tratan de hacer lo propio con importantes
limitaciones e incertidumbres y la tecnología habilita posibilidades que no
pueden ser claramente delineadas y ajustada con los marcos legales existentes,
es claro que estamos en terrenos movedizos que requieren una postura flexible
que no renuncie a lo establecido, sino que lo potencie para anticipar el
futuro.
Pensar en estas nuevas posibilidades y la manera como la información
fluye y se concretan nuevas formas de crean valor para las organizaciones y las
personas, es habilitar las puertas a un pensamiento relacional, que conecta las
expectativas de los clientes con las plataformas tecnológicas de las organizaciones,
reimaginando mundos probables que construyen nuevos imaginarios sociales donde los datos articulan e influencian las
regulaciones vigentes y futuras, motivan tejidos sociales, ahora digitales,
esto es, conectados con las necesidades y expectativas de las personas, que
posibilitan la aparición de tecnologías disruptivas, las cuales no atentan
contra lo establecido, sino que confirman la expectativa de un conglomerado
social.
En este contexto, la seguridad de
la información no es una limitación en sí misma, sino una dinámica inmersa en
el imaginario social que se construye desde la responsabilidad de uso de los
datos, desde el reconocimiento de las expectativas legítimas de los otros
sobre el acceso y sobre manera, el respeto sobre el tratamiento digital de la
información, como fundamento de la tecnología digital disponible, la cual no
ignora los derechos y garantías individuales, sino que habilita las
funcionalidades requeridas para conectar los puntos de generación de valor
claves para las organizaciones y el mundo digital que acopla las regulaciones que
salvaguarda las promesas de cuidado de la identidad digital de cada
ciberciudadano.
Reflexiones finales
Los cinco dilemas presentados establecen un referente de las tensiones
propias de la seguridad de la información y los retos que deben asumir todos
aquellos que trabajan en esta área del conocimiento. Como se puede observar,
cada uno de ellos es una lectura contradictoria, donde cada lado del dilema
interroga al otro, como fuente de una conversación necesaria para poder motivar
lecturas diferentes de la protección que permitan acompañar la evolución
natural de la práctica y las posibilidades de aseguramiento que se puedan
plantear.
En este escenario, por demás volátil, incierto, complejo y ambiguo
(Johansen, 2009), la seguridad de la información debe concretar diálogos
extendidos con diferentes disciplinas sociales y políticas habida cuenta que
superar sus propios dilemas, implica reconocer que carece de las herramientas necesarias
para darles forma. Esto es, habilitar una conexión con otras áreas del
conocimiento para complementar el entendimiento que se tiene hasta el momento
de la práctica de protección de la información y explorar nuevas opciones que
potencien las propuestas actuales.
Cuando la seguridad de la información, consulta sus inicios y encuentra
que su asidero conceptual se funda en elaboraciones matemáticas y tecnológicas,
sabe que la ruta de evolución le exige transitar por terrenos menos definidos
como consecuencia de la presencia de los individuos y sus comportamientos
(Roer, 2015) como elemento conexo de la
realidad del proteger, lo cual verifica la tensión fundamental que enfrenta
toda sociedad como lo es “proteger o compartir”.
Así las cosas, no es descabellado pensar que en un futuro cercano muchas
de las ciencias sociales estarán volcadas al estudio de la seguridad de la
información, como objeto de estudio relevante, habida cuenta que la sociedad de
la información y el conocimiento, reconoce que la información es un activo y
como tal demanda una serie de prácticas y comportamientos que deben estar
ajustados con principios éticos y de convivencia, que necesariamente
corresponden a bienes superiores de una sociedad ahora en formato digital.
En consecuencia, cada uno de los dilemas planteados establece una
ventana de oportunidad para concretar investigaciones que funden nuevas formas
de conocer y explorar las fronteras de la protección de la información en un
mundo digital. Lo anterior, es un llamado para motivar lecturas
transdisciplinares (cruzando disciplinas del conocimiento) (Huerta, Zambrano,
Pérez y Matsui, 2014) de los profesionales de la seguridad de la información
sobre sus propios estándares y habilitar nuevas posibilidades para repensar la
dinámica de sus reflexiones alrededor del aseguramiento de la información.
Referencias
Goodman,
M. (2015) Future crimes. Everything is
connected, Everyone is vulnerable and what we can do about it. New York,
USA: Doubleday.
Hagel,
J., Brown, J. y Wooll, M. (2015) Patterns of disruption. Anticipating disruptive
strategies in a world of unicorns, black swans, and exponentials. Research Report. Deloitte University
Press. Recuperado de: http://dupress.com/articles/anticipating-disruptive-strategy-of-market-entrants/
Huerta
J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales
integradas. Centro Universitario de Ciencias de la Salud. Universidad de
Guadalajara. Guadalajara, México:Editorial Universitaria.
Johansen,
B. (2009) Leaders Make the Future: Ten
New Leadership Skills for an Uncertain World. San Francisco,
USA:Berrett-Koehler Publishers.
Krausz,
M. y Walker, J. (2013) The true cost of
information security breaches and cyber crime. Cambridgeshire, UK: IT
Governance publishing.
Medina,
M. y Molist, M. (2015) Cibercrimen.
Aprende de víctimas, expertos y cibervigilantes. Barcelona, España:
Tibidabo Ediciones.
Raskino,
M. y Waller, G. (2015) Digital to the core. Remastering leadership
for your industry, your Enterprise, and yourself. Brookline, MA. USA:
Bibliomotion Inc.
Roer,
K. (2015) Build a security culture. Cambridgeshire,
UK: IT Governance publishing.
Schmidt,
E. y Cohen, J. (2014) The new digital
age. Transforming nations, businesess, and our lives. New York, USA:
Vintage Books.
No hay comentarios:
Publicar un comentario