domingo, 23 de agosto de 2009

Cultura de Seguridad de la Información: Entendiendo una percepción

Revisando el editorial de la Revista de ACIS, "Entendiendo la inseguridad de la información" (http://www.acis.org.co/fileadmin/Revista_105/editorial.pdf) y las anotaciones del autor del libro "Managing the Human factor in Information Security", David Lacey, (http://www.amazon.com/Managing-Human-Factor-Information-Security/dp/0470721995/ref=sr_1_1?ie=UTF8&s=books&qid=1251001834&sr=1-1) comprender los comportamientos de las personas frente a los temas de seguridad es un tema de percepción, de valoración personal de acuerdo a múltiples variables que sólo cada persona conoce y sabe.

La psicología de la seguridad de la información pasa por un reconocimiento del riesgo, por una percepción del mismo, que mantiene o no alerta a la persona frente a situaciones que pueden vulnerar su espacio individual o comunitario cuando de manejo de información u otra situación se trate. Mientras unos somos más proclives a tomar riesgos, otros no lo somos tanto. La exposición a los riesgos depende de nuestras experiencias previas y situaciones que nos han llevado a tomar decisiones para avanzar o ser más prevenidos ante los eventos inesperados.

Cuando nos sentimos más confiados y confortables en nuestro entorno, se percibe una sensación de protección, que nos anima a tomar mayores riesgos y acciones, pues elementos en el contexto de nuestra decisión nos dicen que es posible actuar con tranquilidad y sin miedos. En este sentido, nuestra prevención y posición de alerta se disminuye y se abre la posibilidad para la materialización de un hecho no previsto.

Cuando advertimos un ambiente hostil, poco confiable y lleno de incertidumbre, nuestras acciones podrán ser conservadoras y prudentes, o lanzadas y temerarias, dependerá de nuestro apetito al riesgo y de nuestra historia frente a decisiones similares. Podríamos decir que en entornos agrestes y desconocidos, nuestra memoria de riesgos se activa y percibe los niveles de incertidumbre que podemos manejar y nos cuestiona cuando dichos límites se vulneran o sobrepasan.

En este contexto, una cultura de seguridad de la información se basa en que tan bien una organización es capaz de gobernar y administrar los incidentes que se presentan. Cómo se enfrenta la incertidumbre de la falla y a sus efectos inesperados. Una cultura de seguridad de la información que encuentra en la inevitabilidad de la falla la fuente de sus supuestos, es capaz de modificar las prácticas expuestas y en uso, en una realidad concreta que se materializa en comportamientos confiables de las personas.

Es decir, una cultura de seguridad que reconoce en los incidentes o materialización de los riesgos, una forma de actuar y conocer que tan inseguros son, es capaz de construir un lenguaje de seguridad, de percepción, no basado en una visión de invulnerabilidad tecnológica, sino en la confiabilidad de su reacción humana frente a la vulnerabilidad propia de los sistemas. Construir una cultura de seguridad alrededor de los incidentes, es destruir la falsa sensación de seguridad y diseñar un sistemas preventivo que cree en las buenas prácticas y en el ser humano contingente.

David Lacey define un incidente como la aplicación sistemática de malas prácticas de seguridad, una definición que nos dice que somos responsables por fortalecer nuestras acciones frente a la inseguridad, una búsqueda constante para descifrar los supuestos básicos de la seguridad de la información en un contexto real. Esto es, comprender nuestro entendimiento de los riesgos en el diario hacer, actuar conforme a ese entendimiento y hacer visible nuestra acción en los procesos de negocio.

Si no entramos a descubrir cómo psicológicamente entendemos la inseguridad y sus efectos de percepción en nosotros, no podemos tener una clara visión de nuestras acciones frente a situaciones de riesgo. Si no valoramos la información como lo que ella es, un activo de la organización, si no reconocemos en los procesos de negocio la importancia de la información, estamos advirtiendo una dinámica organizacional dispersa y animada por una informalidad en la administración de sus riesgos de información.

Por lo anterior, la sensación de seguridad, particularmente en temas de gestión de información, consiste en dimensionar las actividades de los procesos de negocio, los riesgos que se derivan del manejo de la información y la valoración y estimación que de ella efectúa la alta gerencia. Cuando las expectativas del nivel directivo establecen que la información es un bien crítico y sensible para la permanencia de la organización, cada uno de los colaboradores activa el programa de prevención y control de los riesgos de seguridad. Si el nivel directivo no muestra interés legítimo con sus actuaciones sobre la protección de los recursos de información, la organización sabrá que la pérdida de información, la inconsistencia de archivos y eliminación de éstos, son eventos que deben asumir el área de tecnología y no cada uno de ellos.

Así las cosas, una cultura de seguridad de la información no sólo requiere especialistas técnicos en tecnologías de seguridad de la información, sino especialistas organizacionales en administración del riesgo, que canalicen los planes de seguridad y control acordes con la percepción y apetito al riesgo de sus participantes. No sin antes acotar, que la seguridad supone la exposición a situaciones riesgosas, como una manera de conocer los impactos de las medidas y la efectividad de sus controles.

La cultura de seguridad de la información es un control suave que reconoce en el ser humano su inteligencia emocional y espiritual, así como sus aciertos y fallas. De igual forma, estima sus valoraciones e inclinaciones, sus impulsos y restricciones, todo ello para decirle a su entorno que lo conoce y que aprende él, no para controlarlo o desafiarlo, sino para advertirle que a pesar de que pronto nos volverá a sorprender, habrá una posición vigilante y animada para ir más allá de la confianza de nuestras predicciones.

Una cultura de seguridad de la información fuerte y consistente, no habla de una empresa sin incidentes de seguridad, ni fraudes, sino de una que destruye sus propias autorestricciones para conocer y atender nuevas formas de equivocarse.

domingo, 16 de agosto de 2009

Focalícese en la articulación de valor más que en el retorno de la inversión

Revisando un reciente documento de Forrester, denominado Articulation the business value of information security, se advierte un cambio interesante en la manera como se gobierna y gestiona la seguridad de la información en las organizaciones.

Dice el informe que hace algunos años al interregar a los Chief Information Security Officer - CISO, sobre ¿Cuál es el principal motivador para la implementación de controles en su organización? la respuesta natural era "porque necesitamos cumplir con las regulaciones o mandatos corporativos". Ahora cuando nuevamente son cuestionados estos ejecutivos, la respuesta es: "porque necesitamos administrar nuestro riesgos de información".

Al revisar este cambio de perspectiva, si bien la parte regulatoria sigue estando vigente en la agenda de los CISO, se advierte una necesidad de comprender más los flujos de información de la organización y cómo a través de la seguridad de la información se puede generar valor para los negocios. Cuando se establece que la información es un activo estratégico tan importante como las utilidades o las instalaciones, la gerencia establece los recursos y atención necesario para avanzar en una estrategia conjunta que permita asegurar la operación de la firma y la información que en ella se crea, transmite, transporta, almacena, recupera y destruye.

Cuando logramos incorporar la seguridad de la información dentro de los procesos de negocio, como parte normal de diseño y operación del mismo, las inversiones en seguridad dejan de ser un costo propio del área de TI, y se convierten en parte inherente de la operación del negocio. Lograr esta transformación no sólo requiere de un entendimiento de la seguridad dentro de la cultura organizacional, sino la materialización del concepto de seguridad dentro de los comportamientos de los individuos.

De otra parte, no podemos desconocer que la inseguridad continuará avanzando y con su avance nuevas sorpresas y motivaciones para continuar aprendiendo de sus efectos. En este sentido, se hace necesario refinar y reconstruir frecuentemente al equipo de seguridad informática, de tal forma que demuestre conocer los objetivos de negocio y los motivadores de la estrategia corporativa y así sugerir planes tácticos y técnicos que permitan al negocio fluir y administrar los riesgos propios de su operación.

Cuando logramos hacer evolucionar el lenguaje de la inseguridad, de los ataques o amenazas, por uno de resiliencia, de administración de riesgos y aseguramiento de la continuidad estamos asistiendo a la creación de una cultura de seguridad de la información que nace en el entendimiento mismo de los negocios. Es decir, cada área de la organización reconoce que la información y datos que maneja son parte de la sensibilidad del área y de los procesos de misión crítica de sus actividades. Hacer que esto ocurra, exige tanto del área de negocios como del área de seguridad de la información un lenguaje compartido de riesgos y controles que no son otra cosas que una comprensión sistémica de la estrategia de negocio corporativa.

Si bien la inversión en tecnologías de seguridad de la información no producen claramente un retorno de la inversión, si focalizan las energías en la generación de "expectativas y contextos" en los clientes que benefician directamente las relaciones con los terceros. La seguridad de la información al ser parte de la construcción de confianza y valor con los clientes, se hace una aliada estratégica del negocio y la extensión de la presencia del área de tecnologías de información la operación del negocio.

Ser estratégico en la gestión y gobierno de la seguridad de la información, es generar y agregar valor al cliente interno y externo, es ser el asesor confiable y capaz de tomar decisiones críticas que impliquen avanzar en una seguridad de perímetro extendido y móvil, que haga sumergir los negocios en una aldea global y ampliamente comunicada. Lo estratégico de la seguridad consiste en apalancar la dinámica de los negocios actuales, articulando la protección de la información en los procesos organizacionales, no como restricciones de hecho, sino como característica propia del hacer.

Para lograr lo anteriormente expuesto, se hace necesario repensar la figura del CISO, no como ese asesor técnico especializado en tecnologías de seguridad, sino como el ejecutivo de negocio que, reconociendo la complejidad de las condiciones de los mercados de la empresa, esta capacitado para ser flexible y analítico frente a los retos de la inseguridad de la información y así, buscar mayores niveles de continuidad operacional y tecnológica.

Por tanto, cuando sea interrogado sobre el retorno de la inversión en seguridad de la información, muestre el proceso continuado y sostenido donde se articulan los negocios y la protección de los activos de información, que no es otra cosa que el reconocimiento y aplicación de una cultura de seguridad inherente en la administración de los riesgos de negocio.

Lo estratégico de la inseguridad informática

Afirma James E. Lukaszewski, “Ser un estratega significa tener un compromiso con una aproximación mental que piensa más allá de la competencia, la oposición o la crítica y produce un modelo distintivo o único, una serie de pasos, opciones de solución u opciones de dirección”. Así mismo, continúa, “la estrategia es el atrayente o la motivación que convoca a la gente y la ayuda a tener foco para moverse en la misma dirección”.


En este contexto desarrollar un pensamiento estratégico, exige un ejercicio mental permanente para descubrir en los patrones del negocio y en los movimientos de cambio en los mercados, oportunidades para modelar riesgos positivos, lanzarnos en aventuras desequilibrantes y propuestas no convencionales, que le permitan a la organización ver materializado su futuro.


La inseguridad informática en sí misma provee al estratega de la seguridad un modelo mental siempre nuevo y único, que le permite explorar y aventurarse en posibilidades y hechos que son parte inherente de la realidad. La inseguridad, por tanto, es un fenómeno que genera entropía permanente, reflexión activa u observación dinámica por parte del responsable de seguridad, con el fin de establecer de manera pragmática elementos de acción acordes con los hechos, la verdad y la información basada en la realidad.


El estratega de la seguridad permanentemente busca en la inseguridad, un motivo y razón más para desarrollar intencionalmente una aproximación o modelo diferente de comprensión de la realidad. El estratega busca en la inseguridad lo inusual y los resultados inesperados, como insumo fundamental para formular, utilizando los elementos de la situación original, una propuesta distinta y una solución única, que luce muy poco diferente del problema inicial.


Al estratega de la seguridad en general, se le pide que mire al futuro. En esencia la labor de un estratega es visualizar el futuro, caminar por el camino, “haciéndolo al andar”, administrar sus riesgos y decidir sobre lo que puede ver. Peter Drucker, en este sentido, comenta de manera acertada, sobre esta exigente función: “Yo no hago predicciones. Yo simplemente miro afuera por la ventana y miro que es visible, pero que aún no se ha visto”. En este sentido, el estratega de la seguridad, requiere un análisis permanente de patrones y variaciones que le permitan ver lo que aún “no se ha visto”.


Por tanto, el estratega de la seguridad, debe reconocer las señales en su entorno de operación y reflexión, para conducir su gestión hacia, para proyectarla como, sin quedarse en la contemplación de las mismas. El pensamiento estratégico que se requiere en la función de seguridad, no es una doctrina o un manual que se sigue según las buenas prácticas o documentos de estándares, es el resultado de una mente abierta a la incertidumbre, el desarrollo y promoción de un objetivo útil y positivo que motive a otros para lograr su cumplimiento.


El paso más importante para convertirse en un estratega de la seguridad, en un elemento fundamental de la gerencia, es su compromiso personal para convertirse en uno. Cuando declaramos nuestra lista personal de deseos y obligaciones y, la seguridad se convierte en ese motor de energía e ideas, todo a tu alrededor conspira para que te transformes en lo que quieres ser. En este sentido, para mantener la mente en una perspectiva estratégica de la seguridad, recuerde:

  1. Comprender qué piensan los líderes y actúe focalizado en soluciones.
  2. Reconocer y anticiparse a lo que esperan los líderes
  3. Estudiar los patrones de pensamiento, estilos de decisión y acciones que toman los líderes
  4. Construir relaciones de confianza con los que toman decisiones
  5. Mostrar a los líderes cómo utilizar tus ideas y sugerencias.


El pensamiento estratégico en seguridad, es un ejercicio de posibilidades y no de probabilidades; una lección de la cotidianidad y la esencia misma de la novedad. En consecuencia, no es posible alcanzar un pensamiento estratégico real, si no abandonamos la ruta de lo conocido y nos lanzamos al recorrido incierto de la inseguridad.


LUKASZEWSKI, J. (2008) Why should your boss listen to you? Jossey-Bass.