Introducción
Durante estos días son muchas las
noticias que manifiestan la inestabilidad constante de las medidas de seguridad
y control que están disponibles en las organizaciones. Se habla de fallas
reiteradas sobre tecnologías de nueva generación, de malas prácticas de
protección de la información y sobre manera, las repetidas quejas de la alta
gerencia sobre el nivel de aseguramiento disponible en la organización
(TrendMicro, 2015).
Pareciera que la inevitabilidad
de la falla se anticipara todo el tiempo a los mejores pronósticos de los
analistas de seguridad de la información, que no hubiese margen de acción para
enfrentar los retos de las vulnerabilidades y que el ejecutivo de seguridad
estuviese condenado a ser el “reo” que se convoca cuando un incidente ocurre en
la organización.
Esta situación, muchas veces
contradictoria, establece una realidad contraria a los esfuerzos de la función
de protección y aseguramiento que se desarrolla en una empresa, una dinámica
que recaba en la esencia de los imaginarios de las personas, para comprender y
transformar la forma como se proteger la información clave de una corporación.
Si bien las medidas tecnológicas disponibles permiten cerrar los espacios de
actuación no deseados a los clientes, estos igualmente reclaman momentos de
flexibilidad para consensuar sus necesidades con las naturales y requeridas
medidas de protección.
Frente a esta situación, el CIO
privilegia la vista del negocio, donde la agilidad y el acceso deben ser la
norma (Axon, Friedman y Jordan, 2015), mientras el CISO, comprendiendo las
exigencias de las áreas, busca conciliar las necesidades de seguridad y
control, con el sondeo de oportunidad y diferenciación que se requiere para
cautivar y motivar al cliente (Deloitte, 2015). Estas vistas contrapuestas,
manifiestan intereses y prioridades, que inicialmente resultan incompatibles,
pero que leídas en función del ecosistema digital donde opera, revelan
relaciones complementarias que pueden ser ocasión de armonía ante la
inevitabilidad de la falla.
Cuando la condición de “ser
digital” (Dörner y Edelman, 2015) surge en medio de la dinámica de los negocios,
la seguridad de la información y la ciber seguridad, deben atender las
realidades emergentes que se hacen manifiestas por las interacciones internas y
externas que exhiben las organizaciones. El CIO y el CISO no pueden negar la
existencia de riesgos más elaborados e impactos poco conocidos, que si bien, deben
ser analizados y tomados de forma inteligente, también deben ser mitigados o
asumidos cuando sea el momento y el tiempo.
Tensiones entre el CIO y el CISO
La inevitable confrontación entre
CIO y CISO, por entregar lo mejor de sus habilidades e ideas para la
organización, debe consultar la realidad de la tecnología, que de acuerdo con
recientes estudios: (Moschella, 2015)
- Se está desacelerando. Tecnologías como el internet de las cosas (IoT), relojes inteligentes e impresoras 3D, se están adoptando más lentamente que otras en el pasado.
- Es menos disruptiva. Las grandes disrupciones actuales están articuladas con el internet y la web. La movilidad y el IoT han sido más tendencias sostenidas que desestabilizadoras de las industrias. Es probable que propuestas recientes como las gafas de realidad virtual y los drones, pueda en el mediano plazo plantear un nuevo escenario de cambios que afecte dramáticamente las prácticas de las diferentes industrias.
- No está cambiando la sociedad como antes. La introducción de tecnología en la última década modificó muchos de los comportamientos y negocios disponibles a nivel de los países. Si bien, los nuevos desarrollos tecnológicos pueden crear condiciones diferenciales pronto, la absorción de los mismos por la sociedad, las industrias y las empresas debe transformar prácticas existentes para lanzarse a repensar y leer la realidad en un ecosistema digital.
Si lo anterior es correcto, se
está entrando en una meseta de estabilidad tecnológica que debe dar tiempo para
avanzar tanto en la necesidades de los negocios, como en las condiciones de
seguridad y control que sean del caso, y así
dar cuenta de las exigencias de los clientes frente al tratamiento de la
información, así como de las expectativas de los reguladores nacionales e
internacionales sobre el ejercicio de ser garante de los derechos y libertades
individuales en una sociedad hiperconectada.
El CIO está experimentando a la
fecha la tensión de una nueva figura denominada CDO- Chief
Digital Officer (Westerman, 2013; Hughes, 2015), una nueva especie de
ejecutivo de la tecnología de información, más orientado por la dinámica
digital de los negocios, que por la gestión de la tecnología de información en
sí misma. En este contexto, el CIO tiene la presión de modificar sus prácticas
y condiciones de operación para establecer más que un plan estratégico, una
estrategia digital que consolide productos, servicios y contenidos que capturen
el mayor valor de su ecosistema y así ubicar a la organización como referente
digital para mercados emergentes.
Frente a lo anterior, el CISO
tiene al menos dos retos. Uno derivado de su posición organizacional y la
necesidad de pasar de ser reconocido como un referente técnico y guardián del
programa de seguridad de la información, a ser estratega y asesor que orienta y
recomienda la mejor forma de asumir los riesgos emergentes de manera
inteligente (Deloitte, 2015).
Por otro lado, el reto de los nuevos
pobladores de las organizaciones, que entienden la vida interconectada y
compartiendo información. Una nueva raza de individuos que basan sus
comportamientos en la práctica de estar conectados y construyendo en comunidad.
Unos jóvenes emprendedores que encuentran en las empresas no una forma de
obtener un salario, sino una forma de construir y desarrollar sus capacidades.
Se resisten a mantener el statu quo y
cuestionan las “reglas” de las empresas, desde la esencia de lo que hacen,
hasta la forma como se dice proteger la información (Gutiérrez- Rubí, 2014).
Dos vistas de la misma
problemática, enfrentan a estos dos cargos por la creación de valor para la
empresa. Entendiendo esto último como la dinámica de las relaciones sociales
donde están inmersos, para ser reconocidos por los actores del ecosistema
social donde actúan y así recibir en contrapartida la energía necesaria para
seguir funcionando y evolucionando (Krupatini, 2011, p.86). Superar las
prácticas virtuosas de cada uno, es ampliar el campo de las tensiones entre los
dos mundos; no hacerlo es condenarlas a la inercia que desgasta sus discursos y
disminuye su credibilidad.
Si ambos cargos quieren salir de
la lectura operativa, es decir que el área de tecnología es un centro de costo,
y por otro lado, que la seguridad de la información es una función que limita
las oportunidades de negocio, los dos cargos deben trabajar de manera conjunta
compartiendo una vista enriquecida del negocio, que encuentre en el ecosistema
digital que la contiene, razones y nuevas propuestas que anticipen los riesgos
(y ciber riesgos (Jones, 2015)) para ganar nuevos espacios competitivos en
diferentes contextos y sectores.
Lo anterior supone reconocer los
nuevos actores del entorno, percibir el nivel de importancia que la
organización le asigna a los mismos, comprender las respuestas actuales de las
comunidades en internet y establecer una combinación de cooperación y
competencia, de desarrollo y fortalecimiento en un espacio común donde tanto
actores como organizaciones coinciden para crear respuestas a los efectos
evolutivos de un ecosistema, cuyas relaciones cumplen la ley de Asbhy de
variedad requerida, esto es, “sólo variedad, destruye variedad” (Krupatini,
2011, p.127-128).
Reflexiones finales
El futuro digital de las empresas
demanda una lectura diferente de los escenarios actuales de los negocios. Ser
digital no es saber usar las tecnologías para hacer la diferencia, es hacer la
diferencia apropiándose de las oportunidades del ecosistema tecnológico
disponible, o mejor aún crear una visión inédita que cambie las prácticas de la
sociedad actual.
En este sentido, tanto el CIO
como el CISO enfrentan un cambio de paradigma, no solo en sus prácticas, sino
en la forma de comprender su entorno. Lo anterior implica repensar las
prácticas y modelos estáticos basados en precedencias de procesos y
cumplimiento de controles, por reconocimiento de relaciones y modelos dinámicos
que revelan propiedades emergentes y movimientos inesperados que ponen a prueba
tanto la innovación con tecnología, como la protección en función de las
prácticas.
En un ecosistema digital no es el
control de acceso la estrategia fundamental de la seguridad, sino el control de
uso. Esto es, la información por su carácter dinámico va a estar disponible se
quiera o no, lo que hay que tener en cuenta es cómo se va a usar de manera
responsable para posibilitar nuevas opciones de negocio e igualmente cómo se va
filtrar para evitar que se comprometa la oportunidad que se ha creado.
Un ecosistema digital no es una
puerta al “libertinaje de la seguridad”, sino un filtro de aseguramiento que
entiende la información y sus contenidos, como la fuente de la construcción de
confianza y la formalización del relacionamiento confiable. Lo anterior supone
una lectura de la seguridad de la información como un ejercicio de protección
trascendente que no es otro sino aquel que se manifiesta en cómo “mis acciones”
benefician a otros.
Las disrupciones tecnológicas, si
bien han disminuido, no es así con el flujo de información disponible. El
precio de la conectividad es el costo que se asume por capturar, consumir,
reproducir y utilizar la información. Si bien las organizaciones consideran la
información como activo clave para sobrevivir, sus prácticas de seguridad y
control no se encuentran del todo aseguradas y sus consecuencias se advierten
en noticias internacionales donde el riesgo de pérdida y/o fuga de información
es la materialización más frecuente.
Si antes entendíamos el malware,
el spear phishing, el ciber espionaje, las botnets, la negación del servicio
como riesgos claves para la operación, establecer referentes de ciber riesgos
sobre las realidades del futuro es darle a las comunidades en internet el
protagonismo clave, no sólo para seguirlas y aprender con ellas, sino para
anticipar tendencias inherentes a las relaciones que se planteen al interior de
las mismas.
Ignorar que tenemos realidades
emergentes tejidas en el relacionamiento informático de la red, que somos parte
de las preguntas y respuestas sobre el ecosistema digital, es negarnos la
oportunidad de anticipar y cultivar un escenario con riesgos conocidos,
latentes, focales y emergentes (Cano, 2014) que describan la dinámica de la
organización en medio de su entorno.
Así las cosas, no es con más
tecnologías de información o de seguridad y control como las prácticas de
aseguramiento y el compartir información se van a consolidar, sino con una
lectura sistémica de la realidad de la empresa y sus condiciones emergentes,
que cambien los modelos mentales vigentes en la actualidad tanto del CIO como
del CISO, para que den cuenta de las transformaciones requeridas en las
personas y en la sociedad de la información desde la inevitabilidad de la falla y
la protección del valor de la información.
Referencias
Axon, L., Friedman, E. y Jordan, K. (2015) Leading now: Critical capabilities for a complex World. Corporate
learning. Harvard Business Publishing. Recuperado de: http://www.harvardbusiness.org/leading-now-critical-capabilities-complex-world
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y
táctica para visualizar la incertidumbre. Actas
de la XIII Reunión Española de Criptología y Seguridad de la Información.
Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Deloitte (2015) Deloitte Reveals the Four Faces of the CISO. Recuperado
de: http://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-reveals-top-challenges-facing-new-cisos.html
Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Everyone
wants to go digital. The first step is truly understanding what that is. Mckinsey Quarterly. Recuperado de: http://www.mckinsey.com/insights/high_tech_telecoms_internet/what_digital_really_means
Gutiérrez- Rubí, A. (2014) 6 rasgos clave de los millennials, los nuevos
consumidores. Forbes México. Recuperado de: http://www.forbes.com.mx/6-rasgos-clave-de-los-millennials-los-nuevos-consumidores/
Hughes, P. (2015) The rise of the
Chief Digital Officer. Key considerations for driving digital growth from the
C-suite. Deloitte Canada. Recuperado de: http://www.deloittedigital.ca/chief-digital-officer
Jones, J. (2015) 5 Questions Boards and the C-Suite Should Be Asking
About Cyberrisk. Risk Management. Monitor.
Recuperado de: http://www.riskmanagementmonitor.com/5-questions-boards-and-the-c-suite-should-be-asking-about-cyberrisk/
Krupatini, S. (2011) Y ahora qué
hacemos ante la complejidad. Buenos Aires, Argentina: Gránica.
Moschella, D. (2015) The Myths and Realities of Digital Disruption.
Recuperado de: https://d2b327ve0duguu.cloudfront.net/media/assets/The_Myths_and_Realities_of_Digital_Disruption_-_An_Executives_Guide_Executive_Summary.pdf
TrendMicro (2015) A Rising Tide: New Hacks Threaten Public Technologies.
Recuperado de: http://www.trendmicro.co.nz/vinfo/nz/security/research-and-analysis/threat-reports/roundup
Westerman, G. (2013) Should Your CIO Be Chief Digital Officer? Recuperado
de: https://hbr.org/2013/08/should-your-cio-be-chief-digit/
