12 Recomendaciones para configurar su estrategia de seguridad de la información

Una vez más comentamos un informe de Forrester Research, que establece 12 recomendaciones para considerar dentro de la estrategia de seguridad de la información en 2009. Bien podemos o no estar de acuerdo con este documento, sin embargo desarrollaremos algunos comentarios alrededor del mismo, como una excusa académica y prácticas para validar lo que ha ocurrido hasta el momento en el desarrollo de la inseguridad de la información durante este año.

De acuerdo con el estudio referenciado existen posibilitadotes de negocios (Business Drivers), cambios tecnológicos y aspectos económicos que definen la estrategia de seguridad de la información en 2009. A continuación detallaremos algunos de ellos y sus impactos en la estrategia de seguridad de la información.

Dentro de posibilitadotes de negocio (PN) tenemos:

• Enfréntese con la conectividad y los requerimientos de un ambiente móvil.
• Láncese a conocer y desarrollar nuevos modelos de negocio, pero considere sus riesgos.
• Asuma su papel como enlace con los negocios.
• Haga la seguridad invisible a los negocios y valor para sus clientes

Como cambios tecnológicos (CT) el documento enumera:

• Combatir del cibercrimen con personas, procesos y tecnología
• Separar los hechos de la ficción con respecto a la virtualización
• Acoja el Web 2.0 pero mantenga la privacidad
• Tome la aproximación del ciclo de vida de la información para proteger los datos

Detalla los aspectos económicos (AE) como:

• Invierta su presupuesto para impactar la línea base
• Sea flexible con los proyectos de grandes inversiones
• Adopte la estrategia de servicios manejados por terceros
• Evite los “ajustes” relacionados con el apetito al riesgo

Si revisamos cada uno de los elementos propuestos por Forrester, podemos ver que para los habilitadores de negocio, el factor riesgo es la variable más importante que el gerente de seguridad de la información debe tener en cuenta. No se trata de tomar todos los riesgos para lograr la estrategia de negocio, sino incluir dentro del diseño de la estrategia de negocio, la valoración de los riesgos de la información y su flujo en el nuevo modelo propuesto. Con ello no sólo alcanzará su papel como enlace con las metas de negocio, sino que hará evidente el nivel de exposición de la información cuando se haga realidad la nueva estrategia para la empresa.

Cuando tomamos lo relativo a los cambios tecnológicos se advierte con claridad que el enfoque está hacia la tercerización y las nuevas tecnologías de desarrollo, los cuales establecen grandes oportunidades para las organizaciones, pero de igual forma, grandes riesgos si sólo se toman y se ponen en funcionamiento. En este sentido, es deber del gerente de seguridad de la información hace evidente los posibles riesgos que ambas estrategias sugieren para la información de la organización, no como un ente que limite el cambio o vaya en contra de la estrategia corporativa, sino como un animador de la reflexión que permita establecer los acuerdos tácticos requeridos para hacer realidad la estrategia corporativa con el nivel de riesgo que acepta la organización frente a la información y los datos, tanto propios como los de sus clientes.

Finalmente los aspectos económicos, confirman las dos tendencias identificadas tanto en los cambios tecnológicos como en los habilitadores de negocio. La advertencia en este punto es modere sus riesgos frente a las grandes inversiones en seguridad de la información y avance con firmeza en el fortalecimiento de la línea base de las prácticas de seguridad de la información. Si bien, es necesario mantener un balance entre las necesidades de negocio y los riesgos de la seguridad de la información, es clave soportar dicho balance en una fuerte cultura de cuidado de los activos de información, que no es otra cosa, que reconocer en la información la misión misma del área de seguridad de la información.

En razón a lo anterior, la gerencia de seguridad de la información deberá mantener una mentalidad de servicio, que no busque protagonismos en las funciones de negocio, sino la perfecta sinergia que agrega valor al proceso y a sus clientes. Así mismo, deberá promover una cultura de apoyo y educación, que promueva desde su propio ejemplo, las prácticas que desea desarrollar en la organización. Finalmente y no menos importante, la gerencia de la seguridad, deberá entender y traducir las prioridades del negocio, como su insumo base para hacer de la experiencia de la seguridad de la información una práctica natural de los procesos organizacionales y no una restricción que sólo busca entender de manera individual los riesgos de la información.

Inseguridad de la información: Gerencia en movimiento

Revisando lo expuesto por Kotter en su libro “El sentido de la urgencia”, nos recuerda que ante un mundo lleno de turbulencia y de rápidos cambios, no es posible mantener una posición cómoda o autocomplaciente con los éxitos o logros pasados, sino más bien una posición atenta y alerta que nos permita afinar nuestro olfato para ver las oportunidades en medio de las crisis, los retos relevantes que nos permitan cuestionar nuestro statu quo y la energía requerida para moverse y ganar ahora.

Un verdadero sentido de la urgencia es una fuerza altamente positiva y centrada, es un momento de convencimiento y acción que define nuestro estado de alerta y lo lleva a concretar de manera rápida y eficaz las actividades requeridas para hacer que las cosas pasen. Un falso sentido de la urgencia produce estrés, agotamiento y sensación de estar haciendo muchas cosas. Cuando se confunde el estado de alerta activa y focalizada, con los afanes que desgastan y desvían la atención, estamos destruyendo la confianza de muchos para hacer las cosas de manera diferente, que genere valor y diferencia con el cliente.

En este contexto, el gerente o encargado de la seguridad de la información debe entonces, mantener un sentido de la urgencia; una real y activa capacidad de poder ver las tendencias y alertas que puedan impactar los procesos de negocio de las organizaciones, de tal suerte, que puede actuar de conformidad frente a los riesgos emergentes identificados en los flujos de información de las áreas de negocio.

Esto será posible, si y sólo si, encuentra en la inseguridad de la información su fuente de inspiración, su vocación real y concreta, que le permita ver en movimiento los impactos y propuestas de la materialización de posibles incidentes de seguridad en la organización. Cuando el gerente de seguridad de la información, adquiere una posición pasiva y autocomplaciente, es decir aquella que se limita a cumplir con los monitoreos previstos, el cumplimiento de normas establecidas y la validación de evidencias requeridas de sus controles, estamos asistiendo a la petrificación de su capacidad de asombro, esa que es precisamente la característica propia de la inseguridad.

La gerencia de la seguridad de la información, enraizada en un reconocimiento de la inseguridad de la información en cada uno de los procesos de la organización, es la resultante de un ejecutivo que siente como reto propio la conquista de los retos de la inseguridad, la vitalidad propia para aprender de lo inesperado y la confianza de que cada día es posible podernos sorprender. Si esto es correcto, la gerencia de la seguridad de la información irá con certeza más allá de los estándares y las buenas prácticas y habrá siempre un espacio para pensar y dejarse tentar por las nuevas propuestas de la inseguridad informática.

Cuando hacemos lo que nos ha funcionado en el pasado y de manera reiterante insistimos en ello, es una alerta de que existen cosas afuera que están cambiando y no nos estamos percatando de ello. Mientras unos pueden estar altamente ocupados manteniendo en funcionamiento las tecnologías de seguridad de la información, otros estarán indagando el exterior y las coyunturas que pueden generar diferencia, esas que nos abren los ojos frente a los nuevos retos que nos impone la inseguridad. Los primeros estarán con una falsa sensación de urgencia basada en hechos cumplidos y rutinas establecidas y los otros, arriesgándose a ser diferentes y proponer acciones que busquen nuevos horizontes que cuestionen la manera actual de hacer las cosas.

No se quiere decir con lo anterior que mantener el funcionamiento de las tecnologías sea algo que no es saludable y requerido, sino cuestionar que si sólo se hace esto y nuestras energías se focalizan allí, la inseguridad de la información estará acampando cerca nuestro, esperando a que nos acomodemos en nuestra zona de confort, para asaltarnos y mostrarnos que ella, si sabe de sorpresas y de mantenerse alerta cuando otros no lo hacen.

Vivir con un real sentido de urgencia, es elevar nuestras expectativas, nunca conformarse con lo ya recorrido, abrazar con emotividad objetivos que están más allá de lo conocido y vivir intensamente la pasión de transformar el mundo. Si un gerente de seguridad de la información vive con un sentido genuino de urgencia, será gerente de la propia dinámica de negocio, y no de cualquier negocio, sino de aquel que es capaz de generar valor con el cliente, como una experiencia única y real que lleva a decisiones sabias y llena de oportunidades, nunca de restricciones.

Cultura de Seguridad de la Información: Entendiendo una percepción

Revisando el editorial de la Revista de ACIS, "Entendiendo la inseguridad de la información" (http://www.acis.org.co/fileadmin/Revista_105/editorial.pdf) y las anotaciones del autor del libro "Managing the Human factor in Information Security", David Lacey, (http://www.amazon.com/Managing-Human-Factor-Information-Security/dp/0470721995/ref=sr_1_1?ie=UTF8&s=books&qid=1251001834&sr=1-1) comprender los comportamientos de las personas frente a los temas de seguridad es un tema de percepción, de valoración personal de acuerdo a múltiples variables que sólo cada persona conoce y sabe.

La psicología de la seguridad de la información pasa por un reconocimiento del riesgo, por una percepción del mismo, que mantiene o no alerta a la persona frente a situaciones que pueden vulnerar su espacio individual o comunitario cuando de manejo de información u otra situación se trate. Mientras unos somos más proclives a tomar riesgos, otros no lo somos tanto. La exposición a los riesgos depende de nuestras experiencias previas y situaciones que nos han llevado a tomar decisiones para avanzar o ser más prevenidos ante los eventos inesperados.

Cuando nos sentimos más confiados y confortables en nuestro entorno, se percibe una sensación de protección, que nos anima a tomar mayores riesgos y acciones, pues elementos en el contexto de nuestra decisión nos dicen que es posible actuar con tranquilidad y sin miedos. En este sentido, nuestra prevención y posición de alerta se disminuye y se abre la posibilidad para la materialización de un hecho no previsto.

Cuando advertimos un ambiente hostil, poco confiable y lleno de incertidumbre, nuestras acciones podrán ser conservadoras y prudentes, o lanzadas y temerarias, dependerá de nuestro apetito al riesgo y de nuestra historia frente a decisiones similares. Podríamos decir que en entornos agrestes y desconocidos, nuestra memoria de riesgos se activa y percibe los niveles de incertidumbre que podemos manejar y nos cuestiona cuando dichos límites se vulneran o sobrepasan.

En este contexto, una cultura de seguridad de la información se basa en que tan bien una organización es capaz de gobernar y administrar los incidentes que se presentan. Cómo se enfrenta la incertidumbre de la falla y a sus efectos inesperados. Una cultura de seguridad de la información que encuentra en la inevitabilidad de la falla la fuente de sus supuestos, es capaz de modificar las prácticas expuestas y en uso, en una realidad concreta que se materializa en comportamientos confiables de las personas.

Es decir, una cultura de seguridad que reconoce en los incidentes o materialización de los riesgos, una forma de actuar y conocer que tan inseguros son, es capaz de construir un lenguaje de seguridad, de percepción, no basado en una visión de invulnerabilidad tecnológica, sino en la confiabilidad de su reacción humana frente a la vulnerabilidad propia de los sistemas. Construir una cultura de seguridad alrededor de los incidentes, es destruir la falsa sensación de seguridad y diseñar un sistemas preventivo que cree en las buenas prácticas y en el ser humano contingente.

David Lacey define un incidente como la aplicación sistemática de malas prácticas de seguridad, una definición que nos dice que somos responsables por fortalecer nuestras acciones frente a la inseguridad, una búsqueda constante para descifrar los supuestos básicos de la seguridad de la información en un contexto real. Esto es, comprender nuestro entendimiento de los riesgos en el diario hacer, actuar conforme a ese entendimiento y hacer visible nuestra acción en los procesos de negocio.

Si no entramos a descubrir cómo psicológicamente entendemos la inseguridad y sus efectos de percepción en nosotros, no podemos tener una clara visión de nuestras acciones frente a situaciones de riesgo. Si no valoramos la información como lo que ella es, un activo de la organización, si no reconocemos en los procesos de negocio la importancia de la información, estamos advirtiendo una dinámica organizacional dispersa y animada por una informalidad en la administración de sus riesgos de información.

Por lo anterior, la sensación de seguridad, particularmente en temas de gestión de información, consiste en dimensionar las actividades de los procesos de negocio, los riesgos que se derivan del manejo de la información y la valoración y estimación que de ella efectúa la alta gerencia. Cuando las expectativas del nivel directivo establecen que la información es un bien crítico y sensible para la permanencia de la organización, cada uno de los colaboradores activa el programa de prevención y control de los riesgos de seguridad. Si el nivel directivo no muestra interés legítimo con sus actuaciones sobre la protección de los recursos de información, la organización sabrá que la pérdida de información, la inconsistencia de archivos y eliminación de éstos, son eventos que deben asumir el área de tecnología y no cada uno de ellos.

Así las cosas, una cultura de seguridad de la información no sólo requiere especialistas técnicos en tecnologías de seguridad de la información, sino especialistas organizacionales en administración del riesgo, que canalicen los planes de seguridad y control acordes con la percepción y apetito al riesgo de sus participantes. No sin antes acotar, que la seguridad supone la exposición a situaciones riesgosas, como una manera de conocer los impactos de las medidas y la efectividad de sus controles.

La cultura de seguridad de la información es un control suave que reconoce en el ser humano su inteligencia emocional y espiritual, así como sus aciertos y fallas. De igual forma, estima sus valoraciones e inclinaciones, sus impulsos y restricciones, todo ello para decirle a su entorno que lo conoce y que aprende él, no para controlarlo o desafiarlo, sino para advertirle que a pesar de que pronto nos volverá a sorprender, habrá una posición vigilante y animada para ir más allá de la confianza de nuestras predicciones.

Una cultura de seguridad de la información fuerte y consistente, no habla de una empresa sin incidentes de seguridad, ni fraudes, sino de una que destruye sus propias autorestricciones para conocer y atender nuevas formas de equivocarse.

Focalícese en la articulación de valor más que en el retorno de la inversión

Revisando un reciente documento de Forrester, denominado Articulation the business value of information security, se advierte un cambio interesante en la manera como se gobierna y gestiona la seguridad de la información en las organizaciones.

Dice el informe que hace algunos años al interregar a los Chief Information Security Officer - CISO, sobre ¿Cuál es el principal motivador para la implementación de controles en su organización? la respuesta natural era "porque necesitamos cumplir con las regulaciones o mandatos corporativos". Ahora cuando nuevamente son cuestionados estos ejecutivos, la respuesta es: "porque necesitamos administrar nuestro riesgos de información".

Al revisar este cambio de perspectiva, si bien la parte regulatoria sigue estando vigente en la agenda de los CISO, se advierte una necesidad de comprender más los flujos de información de la organización y cómo a través de la seguridad de la información se puede generar valor para los negocios. Cuando se establece que la información es un activo estratégico tan importante como las utilidades o las instalaciones, la gerencia establece los recursos y atención necesario para avanzar en una estrategia conjunta que permita asegurar la operación de la firma y la información que en ella se crea, transmite, transporta, almacena, recupera y destruye.

Cuando logramos incorporar la seguridad de la información dentro de los procesos de negocio, como parte normal de diseño y operación del mismo, las inversiones en seguridad dejan de ser un costo propio del área de TI, y se convierten en parte inherente de la operación del negocio. Lograr esta transformación no sólo requiere de un entendimiento de la seguridad dentro de la cultura organizacional, sino la materialización del concepto de seguridad dentro de los comportamientos de los individuos.

De otra parte, no podemos desconocer que la inseguridad continuará avanzando y con su avance nuevas sorpresas y motivaciones para continuar aprendiendo de sus efectos. En este sentido, se hace necesario refinar y reconstruir frecuentemente al equipo de seguridad informática, de tal forma que demuestre conocer los objetivos de negocio y los motivadores de la estrategia corporativa y así sugerir planes tácticos y técnicos que permitan al negocio fluir y administrar los riesgos propios de su operación.

Cuando logramos hacer evolucionar el lenguaje de la inseguridad, de los ataques o amenazas, por uno de resiliencia, de administración de riesgos y aseguramiento de la continuidad estamos asistiendo a la creación de una cultura de seguridad de la información que nace en el entendimiento mismo de los negocios. Es decir, cada área de la organización reconoce que la información y datos que maneja son parte de la sensibilidad del área y de los procesos de misión crítica de sus actividades. Hacer que esto ocurra, exige tanto del área de negocios como del área de seguridad de la información un lenguaje compartido de riesgos y controles que no son otra cosas que una comprensión sistémica de la estrategia de negocio corporativa.

Si bien la inversión en tecnologías de seguridad de la información no producen claramente un retorno de la inversión, si focalizan las energías en la generación de "expectativas y contextos" en los clientes que benefician directamente las relaciones con los terceros. La seguridad de la información al ser parte de la construcción de confianza y valor con los clientes, se hace una aliada estratégica del negocio y la extensión de la presencia del área de tecnologías de información la operación del negocio.

Ser estratégico en la gestión y gobierno de la seguridad de la información, es generar y agregar valor al cliente interno y externo, es ser el asesor confiable y capaz de tomar decisiones críticas que impliquen avanzar en una seguridad de perímetro extendido y móvil, que haga sumergir los negocios en una aldea global y ampliamente comunicada. Lo estratégico de la seguridad consiste en apalancar la dinámica de los negocios actuales, articulando la protección de la información en los procesos organizacionales, no como restricciones de hecho, sino como característica propia del hacer.

Para lograr lo anteriormente expuesto, se hace necesario repensar la figura del CISO, no como ese asesor técnico especializado en tecnologías de seguridad, sino como el ejecutivo de negocio que, reconociendo la complejidad de las condiciones de los mercados de la empresa, esta capacitado para ser flexible y analítico frente a los retos de la inseguridad de la información y así, buscar mayores niveles de continuidad operacional y tecnológica.

Por tanto, cuando sea interrogado sobre el retorno de la inversión en seguridad de la información, muestre el proceso continuado y sostenido donde se articulan los negocios y la protección de los activos de información, que no es otra cosa que el reconocimiento y aplicación de una cultura de seguridad inherente en la administración de los riesgos de negocio.

Lo estratégico de la inseguridad informática

Afirma James E. Lukaszewski, “Ser un estratega significa tener un compromiso con una aproximación mental que piensa más allá de la competencia, la oposición o la crítica y produce un modelo distintivo o único, una serie de pasos, opciones de solución u opciones de dirección”. Así mismo, continúa, “la estrategia es el atrayente o la motivación que convoca a la gente y la ayuda a tener foco para moverse en la misma dirección”.

En este contexto desarrollar un pensamiento estratégico, exige un ejercicio mental permanente para descubrir en los patrones del negocio y en los movimientos de cambio en los mercados, oportunidades para modelar riesgos positivos, lanzarnos en aventuras desequilibrantes y propuestas no convencionales, que le permitan a la organización ver materializado su futuro.

La inseguridad informática en sí misma provee al estratega de la seguridad un modelo mental siempre nuevo y único, que le permite explorar y aventurarse en posibilidades y hechos que son parte inherente de la realidad. La inseguridad, por tanto, es un fenómeno que genera entropía permanente, reflexión activa u observación dinámica por parte del responsable de seguridad, con el fin de establecer de manera pragmática elementos de acción acordes con los hechos, la verdad y la información basada en la realidad.

El estratega de la seguridad permanentemente busca en la inseguridad, un motivo y razón más para desarrollar intencionalmente una aproximación o modelo diferente de comprensión de la realidad. El estratega busca en la inseguridad lo inusual y los resultados inesperados, como insumo fundamental para formular, utilizando los elementos de la situación original, una propuesta distinta y una solución única, que luce muy poco diferente del problema inicial.

Al estratega de la seguridad en general, se le pide que mire al futuro. En esencia la labor de un estratega es visualizar el futuro, caminar por el camino, “haciéndolo al andar”, administrar sus riesgos y decidir sobre lo que puede ver. Peter Drucker, en este sentido, comenta de manera acertada, sobre esta exigente función: “Yo no hago predicciones. Yo simplemente miro afuera por la ventana y miro que es visible, pero que aún no se ha visto”. En este sentido, el estratega de la seguridad, requiere un análisis permanente de patrones y variaciones que le permitan ver lo que aún “no se ha visto”.

Por tanto, el estratega de la seguridad, debe reconocer las señales en su entorno de operación y reflexión, para conducir su gestión hacia, para proyectarla como, sin quedarse en la contemplación de las mismas. El pensamiento estratégico que se requiere en la función de seguridad, no es una doctrina o un manual que se sigue según las buenas prácticas o documentos de estándares, es el resultado de una mente abierta a la incertidumbre, el desarrollo y promoción de un objetivo útil y positivo que motive a otros para lograr su cumplimiento.

El paso más importante para convertirse en un estratega de la seguridad, en un elemento fundamental de la gerencia, es su compromiso personal para convertirse en uno. Cuando declaramos nuestra lista personal de deseos y obligaciones y, la seguridad se convierte en ese motor de energía e ideas, todo a tu alrededor conspira para que te transformes en lo que quieres ser. En este sentido, para mantener la mente en una perspectiva estratégica de la seguridad, recuerde:

1. Comprender qué piensan los líderes y actúe focalizado en soluciones.
2. Reconocer y anticiparse a lo que esperan los líderes
3. Estudiar los patrones de pensamiento, estilos de decisión y acciones que toman los líderes
4. Construir relaciones de confianza con los que toman decisiones
5. Mostrar a los líderes cómo utilizar tus ideas y sugerencias.

El pensamiento estratégico en seguridad, es un ejercicio de posibilidades y no de probabilidades; una lección de la cotidianidad y la esencia misma de la novedad. En consecuencia, no es posible alcanzar un pensamiento estratégico real, si no abandonamos la ruta de lo conocido y nos lanzamos al recorrido incierto de la inseguridad.

LUKASZEWSKI, J. (2008) Why should your boss listen to you? Jossey-Bass.