Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad

Son muchas las estrategias que hoy por hoy los responsables de la seguridad de la información intentan para persuadir a la alta gerencia con su discurso de protección de activos, las cuales van desde cuantificación de la materialización de las vulnerabilidades, análisis de impactos por pérdidas de imagen e implicaciones económicas de alguna sanción por algún incumplimiento normativo. (BAYUK 2010, pág.4) En este contexto, los ejecutivos de la seguridad de la información, buscan de alguna manera integrar sus planes en la agenda estratégica de la compañía para hacerse visible, no sólo por las consabidas brechas de seguridad que tarde o temprano se presentarán en la empresa, sino como elemento crítico para apalancar las ventajas competitivas de la corporación.

En este sentido, se advierten en la realidad de los programas de seguridad de la información elementos como incorporación de mejores prácticas, análisis beneficio-costo, historias o anécdotas en otras empresas del sector o estudios de referenciación que revisan la función de seguridad de la información en el contexto de los costos organizacionales y el personal requerido para dar cumplimiento al desarrollo de los habilitadores de riesgo y cumplimiento normativo, que no es otra cosa que apalancar las funciones de control interno o aseguramiento de los flujos de información de negocio de la empresa.

Así las cosas, los responsables de seguridad de la información saben que su integración con la estrategia corporativa, no depende exclusivamente de cómo los mecanismos tecnológicos de seguridad se comportan en las diferentes unidades de negocio (valga la pena aclarar, que deben funcionar de acuerdo con lo previsto y acordado con las áreas), sino de cómo alinear sus esfuerzos para hacerse una distinción transversal en la compañía, embebida en la cultura de los negocios, articulado con los sistemas de gestión organizacional y reconocidos por los terceros o grupos de interés en su relación comercial y estratégica.

Sobre este particular un reciente estudio realizado por KAYWORTH, T. y WHITTEN, D. (2010) advierte: “(…) la falta de integración entre el grupo de seguridad de la información y los negocios resulta en una política de seguridad y presupuestos que no reflejan las reales necesidades de la organización. En este contexto, la seguridad de la información tiende a ser reactiva, las decisiones de inversión se mueven por prioridades de corto plazo más que estratégicas o de largo plazo, recibiendo muy poca atención por parte de los ejecutivos de la empresa.(…)”.

Este resultado no nos sorprende, pues lo que hace es ratificar lo que de múltiples formas ha venido ocurriendo hace algunos años, donde la seguridad de la información se confunde con implementación de tecnologías de seguridad, haciendo de esta última distinción, una marca que generalmente tiene alta gerencia de lo que es esta función. Adicionalmente podemos agregar que esta percepción técnica generalizada de la seguridad, es también de nuestra propia práctica, que orientada por los nuevos desarrollos tecnológicos, nos dejamos tentar sin considerar, en algunos casos, los impactos de éstas en los negocios de la empresa. Podríamos decir que los altos ejecutivos de la empresa ven al área de tecnologías de la información y por ende, a la de seguridad de la información, como la sección de la inversión en “juguetes novedosos y costosos” que buscan generar un poco de más confianza en las operaciones de la empresa, pero no mayor valor para el negocio.

En consecuencia, la transformación y renovación de esta percepción de la alta gerencia en los seguridad de la información debe pasar no solamente por una estrategia tecnológica, sino social y cultural que implique una distinción complementaria de los riesgos en los activos de información de la empresa. Es decir, desarrollar un liderazgo de alto nivel sobre la protección de los activos, como parte de la práctica gerencial de la empresa, una visibilidad ejecutiva de la seguridad en los comités directivos y una cultura de seguridad de la información anclada en los supuesto propios de la empresa, que no solamente la perciba como algo que existe en el exterior, sino que se construye y vive en su interior.

Para lograr, lo propuesto en el párrafo anterior, no se requiere amplios esfuerzos en estrategias de gestión del cambio, sino articular tres elementos fundamentales detallados en el estudio de KAYWORTH, T. y WHITTEN, D. (2010) que son:

• Balancear el aseguramiento de los activos de información con la necesidad de apalancar el negocio
• Mantener el cumplimiento
• Asegurar la alineación cultural

En este sentido, dicen los autores que se podrá desarrollar una estrategia efectiva de seguridad de la información que permita a los ejecutivos de la empresa salir de las “historias de horror y miedo” (concepto acuñado por BAYUK 2010) de la seguridad (como son los incidentes de seguridad), para entrar en la etapa del reconocimiento estratégico del valor de la seguridad de la información, como una forma de comunicarse con sus grupos de interés y los mismos procesos de negocio, y asegurar que la información que fluye entre las diferentes áreas, está disponible, controlada, gobernada y ágilmente procesada para que las metas de la organización se transformen en realidades evidentes y visibles tanto para los accionistas como para sus empleados.

Comprender la función de seguridad de la información como una forma de apalancar la manera como la empresa genera valor y lo comunica a sus clientes y demás interesados, debe llevar a los responsables de la seguridad de la información a cuestionarse sobre el enfoque de su estrategia de seguridad de la información más allá del aseguramiento de los perímetros porosos, de las acciones proactivas de identificación y manejo de vulnerabilidades, de los programas de sensibilización e interiorización de la seguridad y de la misma estrategia de cumplimiento legal y normativo, para reenfocar las conversaciones sobre la seguridad de la información más en términos de logros y servicios de apoyo a las estrategias de negocio, que en los componentes de tecnología que los hicieron posibles.

De otra parte, los responsables de la seguridad de la información, sabiendo que es fundamental mantener la segregación funcional con sus pares de la seguridad informática, deben comprender que su trabajo no termina cuando una tecnología de seguridad se instala y asegura lo que ha prometido, sino que allí debe iniciar la construcción de la nueva distinción de seguridad de la información, más allá de la técnica puesta en operación, sino en la percepción de la confianza y aseguramiento de los activos de información que entregue y comunique el valor mismo de la estrategia de la compañía en el proceso de negocio, que haga evidente una experiencia útil y estratégica tanto para los clientes como para el proceso.

Dicho lo anterior, los profesionales de la seguridad de la información no deben hacer cumplir de manera inflexible las reglas y estándares propios de los sistemas de gestión de la seguridad de la información, sin comunicar en el lenguaje del negocio, el porqué estas existen y cómo se articulan con el hacer mismo de los procesos de la empresa. Por tanto, la comunicación del valor de la seguridad de la información en un contexto estratégico y táctico, se centra en las personas, sus habilidades, actitudes y las manera como ellas interactúan con el resto de las áreas y sus procesos, y cómo las prácticas de protección de los activos de información son parte de su manera de actuar y hacer.

Si bien las consideraciones técnicas de la seguridad de la información se deben asegurar y funcionar conforme lo que se tiene previsto para hacer realidad, una percepción de la seguridad de la información requerida en los procesos de negocio, el lenguaje que se utilice para insertarla en la comunicación del valor para los negocio, deberá ser el más adecuado y ajustado con las prácticas de los negocios y las metas corporativas. El área de seguridad no debería hablar de sus “clientes”, como sino fuese parte del negocio mismo; más bien, debe ser alguien que acompaña y se hace parte del proceso como colega o par que aprende junto con aquello que genera valor, para hacerlo diferente y novedoso, comunicando y cumpliendo su promesa de valor de apalancar los resultados de la empresa de manera confiable.

Los responsables de la seguridad de la información que quieran avanzar en una estrategia efectiva de seguridad de la información, no deberán descuidar los diferentes elementos mencionados en esta reflexión, sabiendo que en un entendimiento sistémico de la realidad de la organización podemos mejorar día a día el entendimiento de la inseguridad de la información en los procesos de negocio y descubrir, en la puesta en práctica del programa de seguridad de la información, que la seguridad perfecta no existe y que caminamos “en medio de la noche” con una luz encendida: un monitoreo proactivo.

A continuación el detalle de los tres mecanismos de administración de riesgos para una efectiva estrategia de seguridad de la información sugerida por KAYWORTH, T. y WHITTEN, D. (2010):

Mecanismos de integración organizacional
• Estructuras organizacionales formales

• Unidades organizacionales responsables de la seguridad de la información
• Existencia de un ejecutivo responsable de la seguridad de la información
• Función de auditoría interna

• Estructuras de coordinación

• Comité directivo de seguridad de la información
• Enlaces de seguridad de la información (oficiales de seguridad de la Inf.)
• Separación entre seguridad de la información y seguridad informática

• Coordinación de procesos

• Enfoque de seguridad de la información Top-Down
• Seguridad de la información embebida en los procesos críticos de la organización
• Aplicación flexible de estándares uniformes

Mecanismos de alineación social
• Culturales

• Programas de sensibilización e interiorización en seguridad de la información
• Desarrollo de redes informales de aliados estratégicos de la seguridad de la información
• Desarrollo mentoría y asesoría en seguridad de la información para las áreas de la empresa

• Liderazgo

• Compromiso ejecutivo basado en el reconocimiento de la información como un activo clave de la organización.

Competencia Técnica (El detalle propuesto en este tema es aporte del autor del blog y no hace parte del artículo original mencionado previamente)

• Continuidad de Tecnológica
• Control de acceso
• Integridad de la información
• Cumplimiento legal y normativo
• Gobierno de la seguridad de la información

Referencias
KAYWORTH, T. y WHITTEN, D. (2010) Effective information security requires a balance of social and technology factors. MIS Quarterly Executive. Vol.9, No.3. September.
BAYUK, J. (2010) Enterprise security for the executive. Setting the tone from de top. Praeger.

Inseguridad de la información: Confusión de fines y perfección de medios

Recientemente revisando el libro de Chris Lowney, denominado “Vivir Heroicamente” se identifica una frase que claramente describe una estrategia para comprender la dinámica de la seguridad de la información en los últimos diez años: “Albert Einstein observaba que nuestra era podía describirse acertadamente como una en la que hay "perfección de medios" y una "confusión de fines”.

Durante esta primera década del siglo XXI los encargados de la seguridad de la información han confundido los fines de la seguridad con los medios para alcanzarla. Prueba de ello, es la preponderancia que ha tenido la tecnología sobre las personas y los procesos organizacionales. Si bien, se ha observado claramente iniciativas que privilegian la formación de individuos en los temas de seguridad de la información, la magia de las tecnologías de seguridad de la información ha ocupado a la industria, particularmente en el aseguramiento de los perímetros tecnológicos de las empresas, ahora más porosos que antes.

En este sentido, se observa un amplio perfeccionamiento de las tecnologías, haciéndose más sensibles y afinadas con los cambios dinámicos del ambiente y con mayores índices de efectividad frente a las nuevas amenazas y fallas. Sin embargo, el fin último del aseguramiento de la información nos se percibe, ni se avizora como se quisiera tanto en las organizaciones como en las personas.

Las empresas al transformar los medios (las tecnologías de seguridad) en los fines de la estrategia de seguridad de la información, confunden y desdibujan los esfuerzos sistémicos para comprender la inseguridad de la información en la dinámica de la empresa, privilegiando las fallas de seguridad de las máquinas, perdiendo el horizonte de experiencias y expectativas de las acciones y hábitos cotidianos de las personas.

Al privilegiar los medios sobre los fines, la inseguridad se apodera de la arrogancia del analista de seguridad para demostrarle que sus “fierros tecnológicos” sólo representan una parte de su ecuación y que tarde o temprano deberá reconocer que no ha visto el bosque y que los solos árboles no tienen la respuesta al desafío del aseguramiento de la información.

Cuando el analista de seguridad entiende que el fin último es el aseguramiento de la información en la realidad de la persona (como prácticas) y procesos de negocio de las empresas (sistemas de gestión y control), la inseguridad advierte la activación de la inteligencia estratégica que se inicia para desentrañarla de los diversos escondites, de sus diferentes máscaras y disfraces, que si bien no logrará conocerlos todos, si tendrá las bases o patrones para continuar avanzando en el reconocimiento de ésta.

Cuando los responsables de la seguridad de la información se concentran apasionadamente en los fines de la protección de la información, se activa la destrucción creativa que desequilibra a la inseguridad; se reinventan de manera continua la seguridad y se desvanece la “falsa sensación de confianza” que ocupa a los conformes y tradicionalistas de la seguridad, que entienden ésta como medio y no como fin.

Si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información, debemos entender la brecha entre nuestra realidad y la visión deseada, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, levantar a quienes nos rodean y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestra maestra “la inseguridad” nos presente una nueva lección.

Referencias
LOWNEY, C. (2010) Vivir heroicamente. Ed. Norma.

Reflexiones sobre las métricas en seguridad de la información

Revisando las ideas desarrolladas por Bruce Schneier en su libro “Beyond fear” publicado en 2003, sobre la seguridad de la información encontramos que muchas de ellas nos sirven de escenario base para adelantar una reflexión sobre lo que pueden ser las métricas en seguridad de la información.

Dice Schneier:

• La seguridad es subjetiva y será diferente para diferentes personas, pues cada una de ellas determina su nivel de riesgo y evalúa sus estrategias compensatorias (trade-off) frente a los controles.
• La seguridad es un sistema. Un sistema de contramedidas (controles) individuales y sus interacciones.
• El sistema de seguridad es en sí mismo una colección de activos mas funcionalidad.
• Las interacciones entre sistemas son inevitables. Éstas producen o generan propiedades emergentes de los sistemas. En este sentido, de alguna manera las brechas de seguridad son resultado de las propiedades emergentes.
• La seguridad no es una función que pueda ser verificada, como una reacción química o un proceso de manufactura. Por el contrario, solamente es efectivamente verificada cuando algo no sale bien.
• El atacante debe ser parte del diseño de un sistema de seguridad, por tanto, el sistema debe tomar en cuenta el atacante para mantenerse seguro.
• Los diseñadores de sistemas informáticos que quieren hacer sus sistemas más seguros deben construirlo tan simple como sea posible: elimine opciones, reduzca interacción con otros sistemas, corte funcionalidad que no sea necesaria.
• Usted no podrá tomar buenas decisiones sobre qué tanta seguridad necesita hasta que no conozca los mecanismos de detección y respuesta que necesita implementar.
• “Invulnerable”, “impenetrable” son palabras que no tienen sentido cuando se habla acerca de la seguridad.
• Cuando ocurre un evento de seguridad, regularmente las personas se vuelven más experimentadas y saben que hacer.

Todas estas reflexiones nos hablan de un concepto de seguridad de la información basada en la inseguridad, en ese elemento tangible y medible como lo es la falla en sí misma. En este sentido, las métricas de seguridad de la información deben responder a la capacidad de la organización de responder a las brechas de seguridad, a la cultura de reporte de incidentes de seguridad y al nivel de confianza que quiere tener la alta gerencia respecto de la seguridad de los activos de información.

En este contexto, medir en seguridad de la información no debe estar atado a los estándares de seguridad como el ISO 27000, sino a las relaciones emergentes y propias de cómo se ejecutan las prácticas diarias de seguridad de la información en la organización, en los detalles de cómo se asumen y manejan los escenarios de falla y sobremanera, en la forma como la gerencia quiere administrar los riesgos propios de la protección de la información.

Así las cosas, medir en seguridad de la información exige el reconocimiento de la cultura de seguridad de la información, ese núcleo de supuestos, prácticas expuestas y en uso, así como los artefactos tecnológicos que hacen parte de la estrategia corporativa de seguridad de la información para desestimar posibles conductas que atenten contra la confianza emergente de la gerencia en la protección de los activos.

La gerencia valora más la manera como la organización se enfrenta y reacciona cuando se tiene una brecha de seguridad, que cuando no la tiene. Pues puede ver allí que tan preparada está para que, a pesar de los hechos, pueda procesar el incidente y seguir operando. Así mismo, reconoce el valor de un enfoque preventivo y de aseguramiento, más que uno reactivo y postmortem, porque sabe que mientras más pueda avanzar en una administración de riesgos de seguridad de la información, mejor podrá posicionar su confianza y la de sus clientes para fortalecer sus alianzas estratégicas.

Si bien esta reflexión no pretender agotar el tema de las métricas en seguridad de la información u ofrecer un conjunto de ellas, si busca repensar las ya existentes basadas en operaciones o números, que si bien son muy útiles para mirar la efectividad de las tecnologías de seguridad, no son suficientes para dar respuesta a la pregunta que se hace la gerencia: ¿Cuál es el nivel de confianza que tiene la organización en la seguridad de la información?

Medir en seguridad de la información, no es un tema exclusivamente de números, cantidades o volúmenes. Es una estrategia y la mejor excusa para dar respuesta a una pregunta, a una realidad que se hace evidente en la cultura de seguridad de la información. Medir es reconocer que somos tan seguros como la atención y gestión de los incidentes que hemos tenido, como el nivel fallas que experimentamos en las tecnologías de seguridad y la percepción de protección y amparo que cada una de las personas de la organización presenta.

Cuando nos arriesgamos a medir la gestión de la seguridad de la información, es decir, la generación de valor basada en la protección de los activos de información, nos lanzamos a ver con los ojos de la gerencia su entendimiento de los riesgos frente a los procesos de negocio.