domingo, 17 de enero de 2010

La seguridad de la información: Una estrategia de aprendizaje

Russell Ackoff y Daniel Greenberg en su libro “Turning learning right side up” publicado por Wharton School Publishing en 2008 hacen una serie de reflexiones alrededor de la educación tradicional que bien se pueden aplicar al desarrollo de la función de seguridad de la información en una organización.

1. La educación tradicional se concentra en la enseñanza y no en el aprendizaje.
2. El objetivo de la educación es el aprendizaje y no la enseñanza.
3. La inteligencia es la habilidad para aprender, no es una medida de cuánto has aprendido.

La función de seguridad de la información tradicional se concentra en la información y cómo esta deber ser protegida. Es decir, estudia los detalles de ésta y sus medios de difusión o almacenamiento para establecer las medidas tecnológicas (en su amplio sentido de la palabra y no solamente elementos computarizados) requeridas que permitan un acceso confiable y controlado. En este sentido, la seguridad hace énfasis en la forma como deben hacerse las cosas para obtener el comportamiento deseado y evitar sorpresas en el futuro que impacten el nivel de confianza del usuario en el acceso a los medios donde se encuentre registrada o almacenada la información.

En consecuencia con lo anterior, una función de seguridad de la información planteada de esta forma, trata de encontrar e impartir una manera de entender la protección de los activos de información orientada claramente por los controles conocidos y aplicados. En este sentido, las personas reconocerán la seguridad de la información como la atención a las medidas de restricción que le permiten conocer el nivel de confiabilidad del acceso y uso de los datos y su procesamiento, haciendo de éstas una rutina básica y propia que cada persona debe memorizar y aplicar.

Entender la función de seguridad de esta manera, es cerrarle la posibilidad a la organización para descubrir en su función de negocio, nuevas formas de construir confianza en el acceso y uso de la información; es negarle la posibilidad de reconocer nuevos valores y comportamientos que se pueden desarrollar para confirmar una estrategia de protección basada en las personas; es perder el potencial de acción y conocimiento de cada individuo en los procesos de negocio, para revelar las intenciones de los atacantes.

Si el objetivo de la educación es el aprendizaje, el de la seguridad son los riesgos y no los controles. Parece una herejía lo que se plantea en esta reflexión, pero no lo es; es realmente el resultado de comprender que la seguridad es una propiedad emergente de un sistema, que no imparte clases sobre cómo fluye y se asegura la información, sino más bien busca constantemente respuestas en los inesperados comportamientos que él mismo presenta, fruto de la interacción de éste y sus componentes.

Si no existieran los riesgos o pudiésemos tener situaciones sin riesgos, la seguridad sobraría, no sería elemento sensible a considerar. Pero como no existe tal condición y la constante es que estamos expuestos a los riesgos, se hace necesario aprender de la incertidumbre y de las “fallas de control” para comprender que en la sabiduría del error esta la fuente del aseguramiento permanente de la información de las empresas.

Si el secreto de la educación es el aprendizaje, entonces la inteligencia de la función de la seguridad estará en su capacidad de aprender de la dinámica de los flujos de la información en los negocios, comprender las condiciones inseguras a las cuales está expuesta la información, detallar y moderar las expectativas de los responsables de la información, con el fin de actuar como asociado y consultor interno, que permita acompañarlos en la valoración permanente del nivel de seguridad requerido; no para hacer invulnerable el tratamiento de la información, sino para encontrar nuevas formas para responder ante la inevitabilidad de la falla.

En este sentido, el encargado o responsable de la seguridad, en inglés el Chief Information Security Officer – CISO deberá entender su función como una estrategia de aprendizaje permanente y no de enseñanza, que le permita descubrir y afinar en la práctica que no se trata de transmitir, instruir, enseñar o usar la seguridad, sino más bien construir una comprensión conjunta, tangible y concreta de los riesgos de la información desde la dinámica del negocio que de manera natural sugiera sus estrategias de aseguramiento.

No hay comentarios:

Publicar un comentario