Introducción
Generalmente cuando se termina un periodo de labores las personas y/o
organizaciones hablan de las lecciones aprendidas, de los aprendizajes y
desaprendizajes que se tuvieron, los cuales resultan muy valiosos frente a la
práctica que se ha venido desarrollando en las empresas. Este ejercicio permite
ver en perspectiva lo que ha ocurrido para reconectar aquello que se viene
haciendo con la renovada forma de ver las cosas desde aquello que se ha
aprendido.
Las lecciones aprendidas conectan los momentos donde se suspendió la
realidad, con los referentes teóricos vigentes hasta ese instante, para
repensar lo que se creía que era de esa manera con una forma alterna de ver el
mundo. Una lección aprendida es una ventana de oportunidad para desarrollar
formas diferentes de hacer las cosas y crear condiciones distintas para
aquellos que saben que el mundo cambia y continúa cambiando todos los días.
Las lecciones aprendidas (Ifad, ?) son un insumo para los nuevos
proyectos, el espejo retrovisor que permite observar aquello que ha ocurrido,
reconocer lo que se hizo bien y lo que no salió tan bien, para establecer
referentes concretos que nos ilustren aspectos renovados de la experiencia que
promuevan alcances diferentes a los que se tenían en el pasado. Sin perjuicio
de lo anterior y de las nuevas posibilidades que se han abierto luego de lo aprendido,
es clave comenzar a visualizar lo que se denominan las “lecciones por
aprender”.
Una lección por aprender es una expectativa para anticipar un escenario,
que puede o no ser disruptivo (Johnson, 2011), pues establece un referente de
futuro que la persona u empresa debe considerar para avanzar y anticipar
acciones que debe asumir para concretar nuevos aprendizajes, los cuales serán
relevantes para concretar aquello que quieren alcanzar en un momento próximo.
En este sentido, no solamente son importantes las lecciones aprendidas en
seguridad de la información, sino aquellas que tenemos por aprender.
Las lecciones por aprender en seguridad de la información nos informan
de aquello que se advierte “adelante de la curva”, de las posibilidades que se
deben anticipar para concretar acciones antes que la inevitabilidad de la falla
haga presencia, y que aún se manifieste, se pueda tener margen de acción y
propuestas alternas que confronten la incertidumbre, el miedo y las dudas que
la situación pueda generar.
En este contexto, esta breve reflexión plantea cinco (5) lecciones por
aprender en seguridad de la información, que consultando las lecciones
aprendidas de las vulnerabilidades y fallas más documentadas y frecuentes,
establece un referente base de lo que se avizora en los próximos años que puede
cambiar las prácticas de seguridad y control, no sólo en el ámbito técnico,
sino el escenario organizacional sobre la protección de la información a nivel
de las personas, los procesos, las regulaciones y la tecnología.
Caracterizando las lecciones
por aprender
Cuando existen lecciones por aprender, se deben revisar algunos aspectos
claves que permiten explorar caminos hacia adelante que, pueden o no, estar a
la vista, para concretar acciones que anticipan futuros no previstos o
situaciones que debe ser resueltas. Una lección por aprender busca concretar y
motivar aprendizajes de manera anticipada, con el fin de canalizar esfuerzos
con la suficiente valentía y claridad, para abrir posibilidades de renovación
en el presente.
Podemos indicar que una lección por aprender tiene al menos tres
elementos fundamentales (que son mutuamente excluyentes):
- Sugiere una propuesta o alternativa a una problemática que se ha creado o ha estado en el entorno de manera permanente sin variaciones o soluciones estructurales.
- Identifica y transforma la forma como históricamente se han hecho las cosas en un determinado dominio.
- Revisa y estudia la realidad desde dominios de conocimiento distintos al que contiene la problemática revisada.
Estos tres elementos contextualizan las actuaciones de aquellos que
buscan una lectura no solamente interdisciplinar, sino transdisciplinar (Huerta,
Zambrano, Pérez, y Matsui, 2014), donde los límites de las propuestas extraídas
del mismo dominio de la problemática, carecen de sentido en el otro. Así las
cosas, las lecciones aprendidas conjugan, una perspectiva disciplinar que
define la necesidad primaria para revisar, con las diferentes perspectivas y
ópticas de análisis que se pueden fundar desde otras disciplinas, como fuente
de alternativas retadoras que hacen posible una realidad distinta.
Aquellos que exploran lecciones por aprender deben consultar en el
espejo retrovisor las lecciones aprendidas, para establecer los nuevos linderos
hacia adelante donde se advierte las posibilidades que están disponibles para quienes
han sabido desafiar sus propios paradigmas, y explorar las prácticas históricas
de su disciplina, y darse la oportunidad para “surfear” (CNIC, 2013) sobre las
novedades, que diferentes lecturas de otros dominios, hacen de la misma
realidad.
Establecer las lecciones por aprender en una disciplina particular,
demanda conocer muy bien la realidad de la situación problemática, haber
experimentado la incertidumbre que ocasiona las inestabilidades que registra la
misma y sobre manera haber conocido la contradicción que genera el entorno,
donde no solo se compromete los saberes propios de las personas, sino las
expectativas y emociones de aquellos que están esperando una respuesta a la
inquietud que se genera.
Bajo estos parámetros básicos, se plantean a continuación algunas
lecciones por aprender en seguridad de la información que retan o interrogan
las prácticas actuales, no para generar cambios inmediatos en la manera de
hacer las cosas, sino para establecer horizontes de transformaciones que las
personas y organizaciones deben emprender para no ser víctimas de situaciones
adversas que se puedan presentar en el futuro, sino actores proactivos que han
comprendido con anticipación las inestabilidades que se advierten en un futuro
cercano.
Cinco lecciones por aprender
en seguridad y control
Estas cinco lecciones establecen un plan referente para desaprender de
forma anticipada y crear el entorno necesario para que la realidad se
transforme en un proceso de conquista de los paradigmas vigentes en seguridad y
control.
Lección No.1 Se debe complementar el control
de acceso con el control de uso
La historia de la seguridad de la información se ha fundado sobre el
ejercicio de los controles, donde las medidas tecnológicas tienen el
protagonismo sobre las prácticas de las personas, delegando la protección de la
información en la efectividad de dichas medidas. Esta delegación ha
influenciado la práctica de seguridad de la información, dejando por fuera las
decisiones que las personas deben tomar y el criterio que deben desarrollar
frente al tratamiento de la información.
Así las cosas, el ejercicio que se requiere es articular las técnicas de
control de acceso basadas en permisos, perfiles y roles, con el desarrollo de
capacidades y criterios para decidir ante situaciones inciertas por parte de
las personas. Donde la combinación del control de las tecnologías de control,
sean una parte de la dinámica y respuesta ante el contexto donde la persona debe
decidir.
Mientras el control de acceso se programa y la lógica de protección es
parte inherente de un programa organizacional que exige un cumplimiento de
prácticas de control estándar; el control de uso, está asociado con el
desarrollo de una competencia de gestión segura de la información (Cano, 2015)
que conjuga la apropiación, la concientización y el cumplimiento como fuente
misma de las acciones o actividades que las personas deben desarrollar para
proteger la información aun cuando no existan un escenario propicio para
hacerlo.
Lección No. 2 Se debe complementar el control
de acceso: quién, a qué recurso y qué permisos, con la ubicación de quien
solicita.
La dinámica del internet de las cosas y la movilidad hacen que el
control de acceso tecnológico, aquel que se programa desde las prácticas de la
industria se deba renovar. Esta renovación exige que no solamente se requiere
conocer el quién, el recurso y sus permisos, sino la ubicación de la persona,
ahora en un contexto de movilidad y de ecosistema digital (Harkins, 2013).
Mientras en el pasado el control de acceso estaba asociado con lugares
conocidos y dinámicas particulares en sistemas de información, asociado con
rutinas de las personas que hacían el tratamiento de la información, ahora en
un ecosistema digital donde la movilidad de los actores establece un reto
adicional, se hace necesario incluir una nueva variable que compute la ecuación
de acceso tradicional y se alinee con la realidad que demanda la dinámica de
los negocios actuales.
El nuevo paradigma de control de acceso debe incluir los conceptos
tradicionales y extenderlos sobre características de la infraestructura que
protege y desde donde se requiere hacer el acceso, como quiera que no hacerlo
significa estar aplicando prácticas válidas y probadas, en entornos dinámicos y
asimétricos, donde se advierten revisiones distintas, que no solo son propias
de los estándares conocidos, sino las requeridas por la dinámica actual.
Lección No. 3 Se debe complementar el retorno
de la inversión, con el retorno por inclusión.
Un reto permanente en seguridad de la información es cómo cuantificar la
inversión y calcular su retorno. Un diálogo siempre abierto e inconcluso que se
tiene con las personas de finanzas. Mientras el de seguridad habla en términos
de riesgos y pérdidas, el de finanzas exige propuesta de valor y utilidades.
Una conversación en estos dos idiomas irremediablemente no tiene posibilidades
de conexión ni apertura en ninguno de los dos lados (Kark, Whiteley III y Viglianti,
2009).
En este sentido, mientras el retorno de la inversión (roi) busca
justificar un valor de inversión para registrar y presentar ante la agenda
ejecutiva de la organización, el retorno por inclusión (rxin), revela los
beneficios alcanzados que se han presentado en la empresa por el desarrollo de
prácticas de seguridad y control. Esto es, las historias contadas por los
mismos protagonistas, que dan cuenta de una transformación silenciosa que se
incluye y conecta con el imaginario de la cultura, donde la junta hace parte de
la lectura extendida de la seguridad de la información en su capital político y
corporativo.
El retorno por inclusión (rxin) es una apuesta de construcción social
que se transmite de manera lateral en la organización y que se conecta con los
imaginarios de la cultura (Cano, 2015b), haciendo sentido en las expectativas
del primer nivel ejecutivo, no solo con las noticias que se cuentan desde la
experiencia de las áreas, sino con la lectura que tercero influyentes pueden
hacer sobre los planes del gobierno corporativo. La inclusión no es llevar el
tema al cuerpo de gobierno, sino conectarlo con el tono del imaginario de
protección del cual ellos hacen parte.
Lección No. 4 Se debe balancear el
miedo, la incertidumbre y las dudas, con los hechos, las observaciones, las
anécdotas y las metáforas.
La seguridad, no sólo de la información, sino en diferentes dominios se
ha vendido desde la antigüedad basado en el miedo, la incertidumbre y las
dudas. Los oficiales de seguridad han sido catalogados como “aves del mal
agüero” los cuales cuando aparecen no sólo llevan malas noticias, sino
panoramas siempre inestables que generan temores y dudas (Rose, 2013).
Algunos ejecutivos de tecnología de información argumentan que esta
técnica sigue estando vigente y que ejercicios que motiven este tipo de
situaciones permiten que el flujo de inversión sobre la seguridad tecnológica
se mantenga. Otros, por tu parte, indican que se debe seguir usando el recurso
de las “dudas” en dosis cada vez más pequeñas, para mantener una tensión y
expectativas permanente que no agote el tema con los miembros del primer nivel
ejecutivo.
Lo que es claro es que se debe lidiar con el “síndrome de la falsa sensación de seguridad”, una enfermedad
corporativa que se confía de las pruebas y prácticas que se generan en el
contexto de lo tecnológico, para dar un parte de tranquilidad a los ejecutivos
de primer nivel. Hacer esto y tener éxito, es abrirle la puerta a una
“confianza ilusa” que no pretende indagar sobre lo que realmente ocurre y se
queda con una fotografía estática, que no corresponde con la dinámica inherente
a la inevitabilidad de la falla.
Lo anterior significa que mientras haya mayores elementos asociados con los
hechos, las observaciones, las anécdotas y las metáforas que se puedan
articular con los logros en seguridad de la información, se irá creando un
imaginario de “paranoia bien administrada” que consultando la dinámica de los
riesgos latentes y emergentes, es capaz de hablar de una seguridad y control
basada en la gestión, esto es, que sabe que se articula en buenas prácticas y
logros concretos, pero que requiere siempre un permanente desaprendizaje.
Lección No. 5 Se debe complementar
la visión de riesgos conocidos (feedback) por una visión de riesgos latentes y
emergentes (feedforward)
Los psicólogos hablan que no solamente debemos tener el feedback o retroalimentación de lo que
hacemos, sino tratar de darle sentido a las indicaciones que dicha información
propone. Sin embargo, si nos quedamos allí, estaremos siempre detrás de las
noticias y nunca anticipando cambios o transformaciones que se requieren.
En razón con lo anterior, se habla del feedforward, algo como pensar hacia adelante, que nos moviliza y
motiva a concretar nuevas prácticas y estrategias para hacer cosas que no se
habían hecho antes (Cano, 2014). En seguridad de la información se tiene con
frecuencia mucho feedback, de los
informes de auditoría, de los logs, de las correlaciones de eventos y de las
evaluaciones de terceros que son contratadas dentro del esquema de seguimiento
y control de las empresas, pero poco se habla de feedforward.
La postura de feedforward en
las prácticas de seguridad y control, demanda una vista renovada de la
planeación por escenarios, de los juegos de guerra y sobre manera de la
exploración de posibilidades, más que de probabilidades. El feedforward, le indica a las prácticas
de protección actuales la necesidad de abordar el nuevo escenario digital que
se tiene y lanzarse a construir alternativas diferentes que anticipen
problemáticas estructurales que se pueden presentar en los nuevos escenarios.
Construir contexto de feedforward en seguridad de la información es
incluir una vista de riesgo extendida (latentes, focales y emergentes) con una
propuesta de análisis de escenarios que vincule la reflexión colectiva de los
diferentes participantes organizacionales, donde se revelen puntos de inflexión
antes ignorados y concretados desde el entendimiento de los procesos por sus
propios protagonistas. Los ejercicios de riesgo control de temas conocidos
(propios del feedback) deben ser
complementados una vista hacia adelante (feedforward)
que anticipe y genere escenarios que procuren reflexiones enriquecidas con
todos los interesados.
Reflexiones finales
Las lecciones aprendidas que las diferentes publicaciones nos pueden
revelar, deben ser parte del insumo de las reflexiones que se deben articular
para construir y desarrollar las lecciones por aprender que se han planteado en
este documento. Lecciones que, si bien no son definitivas, son propuestas que
se construyen desde la lectura de cambios sobresalientes y problemáticas aún
sin resolver que permiten abrir espacios de discusión práctica y académica.
Las lecciones por aprender planteadas en este texto, corresponden a una
revisión conceptual y ejecutiva que pretende motivar reflexiones distintas que
liberen a las organizaciones de su visión de retrovisor en seguridad de la
información y promuevan espacios de análisis diferentes que conjuguen una vista
posible del tratamiento de la información, con una práctica de probabilidades
que actualmente se mantienen en los diferentes escenarios corporativos.
Ganarse un lugar en las ligas de los ejecutivos de primer nivel no es
solamente mostrar que el responsable de seguridad es capaz de presentar
indicadores y resultados de su gestión, sino que tiene la capacidad de
confrontar un imaginario de inversiones y costos, con hechos, metáforas y
propuestas que den cuenta de una realidad que afecta los intereses políticos y
estratégicos de cada uno de los miembros de la junta.
Así las cosas, las lecciones por aprender consignadas en esta reflexión,
deben ser una excusa académica y práctica para promover una vista
transdisciplinar (Huerta, Zambrano, Pérez y Matsui, 2014) del tratamiento de la
información, para lograr quebrar el imaginario técnico que la seguridad de la
información carga desde sus inicios y establecer saberes conjugados desde diferentes
miradas administrativas para construir un escenario de discusión donde el único
referente sea la información como activo estratégico clave y distintivo de las
organizaciones.
Referencias
Cano,
J. (2014) Feedback y Feedforward. Blog
Frase de la Semana. Recuperdo de: http://frasedelaseman.blogspot.com.co/2014/12/feedback-y-feedforward.html
Cano,
J. (2015) Gestión segura de la información. Competencia genérica clave en una
sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia,
CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San
Juan, Argentina. Riohacha, Colombia. Junio 2 al 5
Cano,
J. (2015b) Imaginarios sociales. Una herramienta sistémico-social para
transformar una cultura organizacional de seguridad de la información. Memorias III Congreso Internacional en temas
y problemas de investigación en Educación, Sociedad, Ciencia y Tecnología.
Universidad Santo Tomás. Bogotá, Colombia. Septiembre. ISSN No. 2346-2558
(Formato web). Recuperado de: http://bit.ly/1OjMBh6
Consejo
Nacional de Innovación para la Competitividad - CNIC (2013) Orientaciones
estratégicas. Surfeando hacia el futuro. Chile en el horizonte 2025. Recuperado
de: http://www.cnic.cl/images/comunicacionescnic/Orientaciones_Estrategicas/orientaciones_estrategicas.pdf
Harkins,
M. (2013) Managing risk and
information security. Protect to enable. Apress
Open.
Huerta
J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales
integradas. Centro Universitario de Ciencias de la Salud. Universidad de
Guadalajara. Guadalajara, México:Editorial Universitaria.
Ifad
(?) What is a lessons learned. Recuperado de: http://www.ifad.org/evaluation/public_html/eksyst/doc/lle/lle.htm
Johnson,
W. (2011) Disrupt yourself. Harvard
Business Review. Recuperdo de: https://hbr.org/2011/08/disrupt-yourself/
Kark,
K., Whiteley III, R. y Viglianti, A. (2009) Articulating The Business Value of
Information Security. Forrester Research.
Rose, A. (2013) The CISO’s Handbook - Presenting
to the board. Forrester Research. Forrester
Research. Recuperado de: https://www.veracode.com/sites/default/files/Resources/AnalystReports/forrester-ciso-handbook-presenting-to-the-board-compliments-of-veracode-analyst-report.pdf
No hay comentarios:
Publicar un comentario