sábado, 12 de septiembre de 2009

12 Recomendaciones para configurar su estrategia de seguridad de la información

Una vez más comentamos un informe de Forrester Research, que establece 12 recomendaciones para considerar dentro de la estrategia de seguridad de la información en 2009. Bien podemos o no estar de acuerdo con este documento, sin embargo desarrollaremos algunos comentarios alrededor del mismo, como una excusa académica y prácticas para validar lo que ha ocurrido hasta el momento en el desarrollo de la inseguridad de la información durante este año.


De acuerdo con el estudio referenciado existen posibilitadotes de negocios (Business Drivers), cambios tecnológicos y aspectos económicos que definen la estrategia de seguridad de la información en 2009. A continuación detallaremos algunos de ellos y sus impactos en la estrategia de seguridad de la información.


Dentro de posibilitadotes de negocio (PN) tenemos:

  • Enfréntese con la conectividad y los requerimientos de un ambiente móvil.
  • Láncese a conocer y desarrollar nuevos modelos de negocio, pero considere sus riesgos.
  • Asuma su papel como enlace con los negocios.
  • Haga la seguridad invisible a los negocios y valor para sus clientes


Como cambios tecnológicos (CT) el documento enumera:

  • Combatir del cibercrimen con personas, procesos y tecnología
  • Separar los hechos de la ficción con respecto a la virtualización
  • Acoja el Web 2.0 pero mantenga la privacidad
  • Tome la aproximación del ciclo de vida de la información para proteger los datos


Detalla los aspectos económicos (AE) como:

  • Invierta su presupuesto para impactar la línea base
  • Sea flexible con los proyectos de grandes inversiones
  • Adopte la estrategia de servicios manejados por terceros
  • Evite los “ajustes” relacionados con el apetito al riesgo


Si revisamos cada uno de los elementos propuestos por Forrester, podemos ver que para los habilitadores de negocio, el factor riesgo es la variable más importante que el gerente de seguridad de la información debe tener en cuenta. No se trata de tomar todos los riesgos para lograr la estrategia de negocio, sino incluir dentro del diseño de la estrategia de negocio, la valoración de los riesgos de la información y su flujo en el nuevo modelo propuesto. Con ello no sólo alcanzará su papel como enlace con las metas de negocio, sino que hará evidente el nivel de exposición de la información cuando se haga realidad la nueva estrategia para la empresa.


Cuando tomamos lo relativo a los cambios tecnológicos se advierte con claridad que el enfoque está hacia la tercerización y las nuevas tecnologías de desarrollo, los cuales establecen grandes oportunidades para las organizaciones, pero de igual forma, grandes riesgos si sólo se toman y se ponen en funcionamiento. En este sentido, es deber del gerente de seguridad de la información hace evidente los posibles riesgos que ambas estrategias sugieren para la información de la organización, no como un ente que limite el cambio o vaya en contra de la estrategia corporativa, sino como un animador de la reflexión que permita establecer los acuerdos tácticos requeridos para hacer realidad la estrategia corporativa con el nivel de riesgo que acepta la organización frente a la información y los datos, tanto propios como los de sus clientes.


Finalmente los aspectos económicos, confirman las dos tendencias identificadas tanto en los cambios tecnológicos como en los habilitadores de negocio. La advertencia en este punto es modere sus riesgos frente a las grandes inversiones en seguridad de la información y avance con firmeza en el fortalecimiento de la línea base de las prácticas de seguridad de la información. Si bien, es necesario mantener un balance entre las necesidades de negocio y los riesgos de la seguridad de la información, es clave soportar dicho balance en una fuerte cultura de cuidado de los activos de información, que no es otra cosa, que reconocer en la información la misión misma del área de seguridad de la información.


En razón a lo anterior, la gerencia de seguridad de la información deberá mantener una mentalidad de servicio, que no busque protagonismos en las funciones de negocio, sino la perfecta sinergia que agrega valor al proceso y a sus clientes. Así mismo, deberá promover una cultura de apoyo y educación, que promueva desde su propio ejemplo, las prácticas que desea desarrollar en la organización. Finalmente y no menos importante, la gerencia de la seguridad, deberá entender y traducir las prioridades del negocio, como su insumo base para hacer de la experiencia de la seguridad de la información una práctica natural de los procesos organizacionales y no una restricción que sólo busca entender de manera individual los riesgos de la información.

Inseguridad de la información: Gerencia en movimiento

Revisando lo expuesto por Kotter en su libro “El sentido de la urgencia”, nos recuerda que ante un mundo lleno de turbulencia y de rápidos cambios, no es posible mantener una posición cómoda o autocomplaciente con los éxitos o logros pasados, sino más bien una posición atenta y alerta que nos permita afinar nuestro olfato para ver las oportunidades en medio de las crisis, los retos relevantes que nos permitan cuestionar nuestro statu quo y la energía requerida para moverse y ganar ahora.


Un verdadero sentido de la urgencia es una fuerza altamente positiva y centrada, es un momento de convencimiento y acción que define nuestro estado de alerta y lo lleva a concretar de manera rápida y eficaz las actividades requeridas para hacer que las cosas pasen. Un falso sentido de la urgencia produce estrés, agotamiento y sensación de estar haciendo muchas cosas. Cuando se confunde el estado de alerta activa y focalizada, con los afanes que desgastan y desvían la atención, estamos destruyendo la confianza de muchos para hacer las cosas de manera diferente, que genere valor y diferencia con el cliente.

En este contexto, el gerente o encargado de la seguridad de la información debe entonces, mantener un sentido de la urgencia; una real y activa capacidad de poder ver las tendencias y alertas que puedan impactar los procesos de negocio de las organizaciones, de tal suerte, que puede actuar de conformidad frente a los riesgos emergentes identificados en los flujos de información de las áreas de negocio.


Esto será posible, si y sólo si, encuentra en la inseguridad de la información su fuente de inspiración, su vocación real y concreta, que le permita ver en movimiento los impactos y propuestas de la materialización de posibles incidentes de seguridad en la organización. Cuando el gerente de seguridad de la información, adquiere una posición pasiva y autocomplaciente, es decir aquella que se limita a cumplir con los monitoreos previstos, el cumplimiento de normas establecidas y la validación de evidencias requeridas de sus controles, estamos asistiendo a la petrificación de su capacidad de asombro, esa que es precisamente la característica propia de la inseguridad.


La gerencia de la seguridad de la información, enraizada en un reconocimiento de la inseguridad de la información en cada uno de los procesos de la organización, es la resultante de un ejecutivo que siente como reto propio la conquista de los retos de la inseguridad, la vitalidad propia para aprender de lo inesperado y la confianza de que cada día es posible podernos sorprender. Si esto es correcto, la gerencia de la seguridad de la información irá con certeza más allá de los estándares y las buenas prácticas y habrá siempre un espacio para pensar y dejarse tentar por las nuevas propuestas de la inseguridad informática.


Cuando hacemos lo que nos ha funcionado en el pasado y de manera reiterante insistimos en ello, es una alerta de que existen cosas afuera que están cambiando y no nos estamos percatando de ello. Mientras unos pueden estar altamente ocupados manteniendo en funcionamiento las tecnologías de seguridad de la información, otros estarán indagando el exterior y las coyunturas que pueden generar diferencia, esas que nos abren los ojos frente a los nuevos retos que nos impone la inseguridad. Los primeros estarán con una falsa sensación de urgencia basada en hechos cumplidos y rutinas establecidas y los otros, arriesgándose a ser diferentes y proponer acciones que busquen nuevos horizontes que cuestionen la manera actual de hacer las cosas.


No se quiere decir con lo anterior que mantener el funcionamiento de las tecnologías sea algo que no es saludable y requerido, sino cuestionar que si sólo se hace esto y nuestras energías se focalizan allí, la inseguridad de la información estará acampando cerca nuestro, esperando a que nos acomodemos en nuestra zona de confort, para asaltarnos y mostrarnos que ella, si sabe de sorpresas y de mantenerse alerta cuando otros no lo hacen.


Vivir con un real sentido de urgencia, es elevar nuestras expectativas, nunca conformarse con lo ya recorrido, abrazar con emotividad objetivos que están más allá de lo conocido y vivir intensamente la pasión de transformar el mundo. Si un gerente de seguridad de la información vive con un sentido genuino de urgencia, será gerente de la propia dinámica de negocio, y no de cualquier negocio, sino de aquel que es capaz de generar valor con el cliente, como una experiencia única y real que lleva a decisiones sabias y llena de oportunidades, nunca de restricciones.