miércoles, 30 de noviembre de 2011

Función y propósito de la seguridad de la información

Revisando reflexiones elaboradas por R. Ackoff (en su libro: Differences that make a difference) alrededor de qué es una función y qué es un propósito, encontramos muchas reflexiones que pueden ser de utilidad para el responsable de la seguridad de la información. Mientras una función es el uso de algo que puede tener alguna cosa, tener un propósito implica hacer selecciones y tomar opciones para hacer que ese algo se movilice.

En este sentido, desarrollar una función de seguridad de la información en la empresa es establecer los mecanismos, estrategias y acciones que nos permiten hacer realidad las metas operativas de la seguridad de la información representadas en prevención de ataques, control del spam, revisión y control antivirus, aseguramiento de firewalls, entre otras temáticas, que lo que buscan es medir la efectividad y eficiencia de las implementaciones de hardware y software para proteger la infraestructura tecnológica de riesgos que atenten contra la confidencialidad, integridad y disponibilidad.

Todo lo anterior, se podría implementar sólo como una vista operativa y funcional, aún sin un propósito específico, y tendría efectos positivos en la exigente labor de administración de la seguridad de una organización. Sin embargo, esta postura, no respondería a la necesidad de anticipación requerida y demandada por la organización para movilizar la transformación de la empresa e incrementar el nivel de protección de la información requerido por el negocio ahora y en el futuro.

Cuando la seguridad de la información tiene un propósito, tiene un fundamento, un sueño que lograr y unas metas para cumplir, es capaz de movilizar elementos organizacionales como tiempo, personas y finanzas, para destruir lo que las personas “creen” y renovar lo que las personas “hacen”; haciendo visible un cambio de paradigma en el tratamiento de la información, es decir, pasar de “algo” que alguien hace por mí, a “algo que es parte inherente de mi”.

Materializar este tipo de paradigmas implica no solamente entender la función de seguridad de la información per se, sino encontrar un sentido práctico a la protección de los activos de información, como una manera de hacernos responsables reales en el tratamiento de la información, para tomar las opciones y selecciones conscientes que incrementen la percepción de tranquilidad y seguridad de los activos identificados, clasificados y puestos a disposición de una organización y sus metas grandes y ambiciosas.

Cuando hablamos de la función de seguridad de la información en una organización, sin tener en cuenta su propósito, es hablar de una serie de actividades y acciones que no tienen claramente un sentido o direccionamiento, a pesar de que éstas funcionen de la manera prevista. De igual forma, contar con el propósito motivador de la seguridad en una organización, pero no tener acceso a los recursos suficientes para movilizarlo, se convierte en un buen ejercicio académico que motiva a pocos y no convence a muchos. En este sentido, cada vez que nos hacemos “de mayor edad”, y más pausados en nuestras reflexiones, debemos renovar nuestro niño interior, ese que está libre de autorestricciones y se dejar sorprender con las nuevas lecciones de la inseguridad de la información.

Adicionalmente, si agregamos un símil sobre lo que venimos reflexionando y para ello utilizamos el concepto de una “caja de herramientas”, podemos notar que la función de aquella, entre otras que le podemos asignar, es poder custodiar y mantener funcional los elementos disponibles allí. Si esto es cierto, el poder de la "caja de herramientas" (en este caso de la seguridad de la información) no está en su diseño, ni funcionalidad; está en el propósito que alguien le ha asignado, en las decisiones y opciones que se han tomado para continuar entendiendo las acciones de la inseguridad de la información, teniendo como referente base las declaraciones y protocolos legales propios que las brechas de seguridad de la información imponen a la empresa.

Tener propósitos en la vida y vivirlos con intensidad cada día, es encontrar la fuente de la disciplina, la energía para hacer que las cosas pasen y el libro de la sabiduría para tomar las opciones requeridas y necesarias que permitan elevar nuestro potencial. Si lo anterior es cierto, el responsable de la seguridad de la información, entendiendo el valor propio de las implementaciones tecnológicas y la realidad de las mediciones, podrá responder de manera ágil y contundente a las preguntas políticas que exigen los ejecutivos de la empresa, preguntas que no son otra cosa, que una expresión de las necesidades y expectativas que ellos tienen para proyectarse en su mercado o sector de negocio.

Así las cosas y como quiera que aún debemos cruzar el umbral de las decisiones de presidencia y/o junta directiva, es importante recorrer el camino del propósito desde la realidad interna de la empresa, para formular estrategias operativas que, reconociendo el valor estratégico de la información, sean capaces de cautivar las metas de negocio y sus decisiones estratégicas, desde las prácticas diarias de protección de la información.

1 comentario: