domingo, 26 de febrero de 2012

Inseguridad de la información: Retos de “espacios en blanco” y lecciones de “cisnes negros”

Según muchos analistas se viene desarrollando un movimiento en medio de las tensiones mundiales, que advierte nuevos cambios trascendentales en la manera como se mantiene el orden mundial. Un orden generalmente dominado por el poder económico, político y capacidad militar bélica, que posiblemente pronto va a cambiar. Este pronóstico, tiene su base en los eventos que hemos podido verificar en los últimos años, como son ataques informáticos focalizados efectuados por países como China a los Estados Unidos (SEGAL, A. 2012), buscando particularmente activos valiosos de propiedad intelectual y secretos militares estratégicos.

Esta tendencia, que cada vez toma más relevancia y atención por parte de los gobiernos, claramente es una sorpresa predecible, es decir aquellas situaciones que “… cuando se advierten amenazas emergentes, las cuales están sustentadas en información procesada y analizada, basada en los objetivos y tendencias verificadas, y éstas no corresponden al modelo de creencias y valores del que toma decisiones, sencillamente son ignoradas.” (CANO, J. 2008).

En este sentido, mientras los analistas más se esfuerzan por entender el fenómeno en el contexto digital y de las redes sociales, menos capacidad tendrán de advertir condiciones críticas de eventos aún más sofisticados y menos tangibles que generen un escenario diferente de análisis que permita un margen de anticipación de las naciones o empresas frente a aquello que es inesperado. Esto es, como afirma Taleb (pág.107), “… una serie de hechos corroborativos no constituye necesariamente una prueba. …”. Por tanto, cuando de advertir eventos o situaciones que aún no ocurren, los pronósticos de los analistas, poco podrán ayudarnos, dado que si bien cuentan con información suficiente, sus modelos no podrán incluir las condiciones borde que están presentes cuando de entender los flujos de información en internet se trata.

Como consecuencia de lo anterior, hablar de una ciber guerra o que estamos en la primera ciberguerra del segundo milenio, no es necesariamente una predicción o afirmación innovadora, toda vez que muchos estados han incluido esta posibilidad dentro de sus modelos de escenarios de crisis probables, los cuales responden al análisis de información cierta y verificable que les permite anticipar una condición como la mencionada. (LIBICKI, M. 2009) Sin embargo, fuera de este contexto, existen otras múltiples variables que en este momento pueden estar aisladas o no monitoreadas y que cuando menos lo esperemos, tendremos una nueva visión del mundo que conocemos y que puede no necesariamente estar articulada con tecnología.

Mientras estos eventos ocurren, nuestra visión de la seguridad de la información deberá mantenerse en las “aguas profundas de la incertidumbre”, concentrados en la inevitabilidad de la falla, allí donde no importan las probabilidades, sino las posibilidades, el escenario ideal para el analista del seguridad, que renunciando a la zona de confort que le imponen los reportes conocidos, persevera para renovar sus lentes con los cuales “entiende su realidad”.

Así las cosas, como pregunta Taleb, “… ¿cómo podemos conocer el futuro teniendo en cuenta nuestro conocimiento del pasado: o de forma más general, cómo podemos entender las propiedades de lo desconocido (infinito) basándonos en lo conocido (finito)? …” Para encontrar respuesta a este interrogante, el concepto de seguridad de la información no nos permite ahondar con profundidad en la respuesta, pues su capacidad para generar variedad y entender el sistema, es tan limitado como lo que hasta hoy conocemos de la misma. Mientras, pensando por su dual, es decir la inseguridad de la información, podemos encontrar un mundo de posibilidades tan infinito como lo desconocido, pues en últimas, los dos conceptos comparten la sabiduría de la incertidumbre y la inteligencia de lo inesperado.

En razón con lo anterior, hablar de una vocación para ver los nuevos retos de la seguridad de la información, es recabar en propuestas novedosas y provocadoras que nos invitan a escribir en el margen de las hojas, en los “espacios en blanco” de la dinámica de las empresas y descubrir que la realidad es una expresión permanente de eventos no lineales. Así las cosas, Johnson y Taleb nos presentan conceptos alternos para enfrentar la inercia de la realidad y superar nuestras propias reflexiones.

Mientras los “espacios en blanco”, según Mark Johnson, autor del libro Seizing the White space. Business model innovation for growth and renewal, son “el rango de posible actividades que no están definidas o dirigidas por el modelo de negocio actual de la empresa, es decir, las oportunidades fuera de su función de negocio y más allá de sus capacidades actuales, que requieren un modelo de negocio diferente para capitalizarlas”, los “cisnes negros” anota Nassim Nicholas Taleb, en su libro “El Cisne Negro”, es “un suceso que se caracteriza por tener tres atributos: primero es una rareza, pues habita fuera del reino de las expectativas normales, segundo, produce un impacto tremendo y tercero, pese a su condición de rareza, la naturaleza humana hace que inventemos explicaciones de su existencia después del hecho, con lo que se hace explicable y predecible.”

Revisando ambos conceptos, cada autor nos invita a mantenernos atentos a los cambios que ocurren a nuestro alrededor. Nuestro conocimiento del mundo, no puede ser estático y sometido a las reglas de la gravedad de lo aprendido, sino despertar nuestros instintos y sentido del olfato, para poder descubrir aquello que se escribe con letras torcidas, en medio de la cotidianidad con letra imprenta. Mientras la gravedad de la seguridad nos empuja a niveles de certeza conocido, el impulso de la inseguridad nos revela en la sabiduría del error, nuevas formas de aprendizaje.

Si tratáramos de encontrar una vista unificada de los “cisnes negros” y los “espacios en blanco”, podríamos decir, parafraseando a Taleb, que es una búsqueda permanente de no sobreestimar lo que sabemos ni infravalorar la incertidumbre, lo que nos permite mantener una variedad de estados inciertos, movilizando nuestro pensamiento hace el espacio de lo desconocido. Declaración que leída en clave de inseguridad de la información, es una invitación a pensar en los efectos de borde, en las condiciones extremas y en la inevitabilidad de la falla, para encontrar a diario nuevas formas de cuestionar los supuestos de la seguridad y confianza en las organizaciones.

Si bien no podemos vivir o mantener un contexto de confiabilidad de las prácticas de seguridad de la información de una organización sin un mínimo de paranoia bien administrado, tampoco podemos confiar en los “antecedentes que siguen las mismas consecuencias” como afirma Taleb, pues al igual que la incertidumbre, la inseguridad sigue patrones asimétricos de comportamientos, que en el lugar menos esperado, en la relación aún menos indicada, es capaz de elevar nuestra capacidad de atención y proponernos una nueva lección, una condición natural que nos permite saber que no todos los cisnes son blancos.

Referencias
JOHNSON, M. (2010) Seizing the White space. Business model innovation for growth and renewal. Harvard Business School Press.
TALEB, N. N. (2011) El cisne negro. El impacto de lo altamente improbable. Editorial Paidos. 8 reimpresión.
LIBICKI, M. (2009) Cyberdeterrence and cyberwar. Rand Corporation. Disponible en: http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf
CANO, J. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes. ISACA Journal. Vol. 6. Disponible en: http://www.isaca.org/Journal/Past-Issues/2008/Volume-6/Pages/JOnline-Cibercrimen-y-Ciberterrorismo-Dos-Amenazas-Emergentes.aspx
SEGAL, A. (2012) Chinese computer games. Foreign affairs. Marzo/Abril. Disponible en: http://www.foreignaffairs.com/articles/137244/adam-segal/chinese-computer-games?page=show (requiere suscripción)

domingo, 19 de febrero de 2012

Inseguridad en redes sociales. La inevitabilidad de la falla en nuestros comportamientos y valores

Hace más de 10 años internet era un sitio donde algunos generaban los contenidos y decidían que se mantenía allí o no. Hoy luego de una impresionante evolución de la Web 2.0, son las personas las que desarrollamos y actualizamos los contenidos que se advierten en internet. Esto es, pasamos de un control de pocos a una participación de muchos empoderados y con capacidad para convocar y movilizar causas a través de las redes sociales y formas de manifestación en línea.

De acuerdo con FRIEDRICH, R., PETERSON, M., and KOSTER estamos en el surgimiento de la generación C, una generación caracterizada porque permanece conectada, comunicada, centrada en los contenidos, altamente digital y orientada hacia las comunidades. Esta nueva generación, capaz de modificar los comportamientos sociales, exigir respeto y atención frente a sus demandas, viene dotada de un primer dispositivo digital, generalmente inalámbrico, que le permite estar en línea y con información instantánea de lo que ocurre en su entorno.

Toda vez que esta generación será la que estará en las organizaciones en los próximos 10 años, se hace necesario iniciar desde este momento, el análisis requerido de los riesgos emergentes del uso de las medios sociales digitales en el contexto empresarial, como factor clave para reconocer comportamientos y acciones de los individuos frente a las exigencias de seguridad y control de las organizaciones, ahora mucho más expuestas a los contenidos que exponen sus propios empleados, competidores, clientes y demás grupos de interés en las redes sociales.

En este sentido, Bahadur, Inasi y de Carvalho en su libro “Securing the Clicks. Network security in the age of social media” de McGraw Hill, plantean un discurso metodológico práctico para evaluar los riesgos propios del uso de las redes sociales, de tal forma que las organizaciones, adviertan de manera concreta sus impactos y las prácticas requeridas que les permitan mitigar su exposición. Para ello detallan la matriz con el acrónimo en inglés H.U.M.O.R, que integra elementos como Human Resource, Utilization of resources, Monetary spending, Operations Management y Reputation Management.

Los autores siguiendo la matriz de análisis H.U.M.O.R, plantean una publicación con cinco partes: assessing social media security, assessing social media threats, operations, policies & process, monitoring & reporting y finalmente social media 3.0, sección donde plantea los retos futuro de los medios sociales digitales que necesariamente revelan el concepto de Peter Russell en su libro de 1982, denominado el Cerebro Global; la pérdida de control de aquello que publicamos, la erosión de la privacidad, las amenazas propias de la geolocalización, el internet de las cosas y las inconsistencias de las regulaciones.

Cada elemento de la matriz H.U.M.O.R establece requerimientos, tácticas, políticas y procesos de implementación necesarios para mover a las organizaciones hacia un proceso más confiable que no riña con la dinámica de las redes sociales actualmente vigente en las organizaciones.

De acuerdo con los autores, una vez implementada la política relacionada con medios sociales digitales y sus controles respectivos, se hace necesario adelantar una valoración de las buenas prácticas incorporadas y observar el nivel de adherencia de los individuos a la política, como fuente base de la interiorización de las personas frente a los riesgos propios de las redes sociales.

Dentro del plan de auditoría previsto para adelantar lo anterior a nivel interno se tiene: (Bahadur, Inasi y de Carvalho 2012, pág.200-201)
• Revisar los procedimientos para la integración de las redes sociales en el modelo de seguridad de TI.
• Revisar los procedimientos monitorización de las redes sociales públicas, donde los empleados hacen presencia.
• Revisar los reportes generados de la actividad identificada en las redes sociales.
• Revisar la actividad y procedimientos establecidos para atender incidentes de seguridad de la información en redes sociales.
• Revisar procedimientos para educar a los empleados en los riesgos de las redes sociales.
• Actualizar una vez al año de las políticas y prácticas relacionadas con las redes sociales.
• Valorar la seguridad de las aplicaciones frente a las vulnerabilidades que puedan permitir acceso no autorizado.
• Revisar y verificar todo el código de las aplicaciones hecha a la medida para propósitos de apoyo a las redes sociales.
• Analizar y reportar todos los cambios de las aplicaciones de terceras partes que son utilizadas por el negocio, particularmente en lo relacionado con redes sociales.
• Evaluar y analizar todas las herramientas de software y sitios utilizados como soporte a la estrategia de redes sociales.

Si bien este listado de revisión no agota el tema de la seguridad en las redes sociales a nivel interno en una organización, si establece una base de debido cuidado y deber de aseguramiento que las empresas deben advertir frente al manejo de su imagen corporativa y a la protección de la información en el contexto de una sociedad más abierta, expuesta a la sobrecarga de la información y a la erosión de la privacidad.

Por tanto, si se presenta una crisis o incidente de seguridad ocasionado por la materialización de un riesgo a través de las redes sociales, mantenga en mente las siguiente consideraciones: (idem, pág.216)
• Establezca una presencia activa en las redes sociales tan pronto como sea posible para construir una relación de confianza con sus consumidores en línea.
• Responda inmediatamente a la problemática identificada con el franco reconocimiento del hecho, donde la empresa es consciente de la situación y que le estará informado en breve los detalles de lo ocurrido.
• Mantenga la comunicación sobre la situación, no espere a tener la información completa, sino comente que está atendiendo lo acontecido, explique cómo lo está haciendo y tan pronto como tengo más detalles, entréguelos rápidamente a los interesados.
• Establezca canales de comunicación para las personas que necesiten contactar a la empresa de manera privada sobre reclamaciones, observaciones, preguntas o sugerencias, que se puedan derivar de la situación presentada.
• Los clientes individuales con reclamaciones legítimas deben ser atendidos, reconocidos y atendidos para responder a sus inquietudes de manera rápida y efectiva.

Cuando pensamos en la inseguridad de la información, no podemos menos que revelar la potencia de un concepto en una realidad asistida por tecnología, procesos y personas que se funde en las relaciones y propiedades emergentes que surgen de la relaciones entre ellas. En este sentido, las redes sociales, como fenómeno propio de la web 2.0, son fuente natural de amenazas y retos para los ejecutivos de la seguridad de la información en las organizaciones modernas, toda vez que la exposición de la empresa y su reputación, están ahora en las declaraciones de sus empleados en medios abiertos y de alcance global como los medios sociales digitales.

Por tanto, más allá de las bondades y vigor de las redes sociales en el contexto de los negocios de las empresas de este nuevo milenio ampliamente reconocido en la literatura actual, debemos ser conscientes que no muchos compartirán el éxito corporativo y ganancias reportadas, y por tanto, la sensibilidad y volubilidad de los seres humanos apalancada con tecnología, podrá desencadenar una serie de eventos desafortunados que activarán nuevamente la maquinaria de la inseguridad, ahora desde la realidad humana y la inevitabilidad de la falla en nuestro sistemas de comportamientos y valores.

Referencias
FRIEDRICH, R., PETERSON, M., and KOSTER, A. (2011) The Rise of Generation C. How to prepare for the Connected Generation’s transformation of the consumer and business landscape. Strategy+Business Magazine. Published by Booz & Company Inc. Issue 62. Spring. Available at: http://www.strategy-business.com/article/11110 (Last access: 18-02-2012)
BAHADUR, INASI y DE CARVALHO (2012) Securing the clicks. Network security in the age of social media. McGraw Hill.

domingo, 5 de febrero de 2012

El negocio de la seguridad de la información: ¿Qué vende la función de seguridad de la información?

Introducción
Generalmente cuando hablamos de un negocio, hablamos de producir algún tipo de bien o servicio que satisface una necesidad existente o creada, por lo cual cobramos y obtenemos algún beneficio bien sea tangible o intangible. Cuando interrogamos a los miembros de una organización cualquiera que esta sea, una pregunta básica que se nos ocurre es, ¿qué hace la compañía para la que trabajas? O dicho de otra forma, ¿qué vende la empresa para la cual prestas tus servicios? Respuesta que no se da de manera fluida o concreta y que generalmente no responde con claridad sobre el negocio que ésta desarrolla.

Tener claridad sobre el modelo de negocio que se desarrolla en una organización es encontrar la fuente de la sabiduría empresarial; es decir, establecer alternativas desequilibrantes y únicas que permiten a la compañía destacarse en su entorno y tomar ventaja de las condiciones que su contexto le marca, buscando anticiparse todo el tiempo para estar un paso delante de sus competidores.

Un modelo de negocio requiere antes que una estructura formal o conceptual probada, una visión, una pasión, un gusto y una forma diferente de ver el mundo, que le permita a su creador una manera para darle forma a una idea o pensamiento, un camino para desarrollar su intelecto y una oportunidad para armar un rompecabezas de retos que su propio sueño le impone. Un creador de negocios sabe que tendrá muchas cosas a su favor y otras tantas en contra, que deberá tener buen criterio para recibir las consideraciones de sus contradictores y, buen olfato para tomar riesgos calculados y así obtener lo que quiere.

En este contexto, los responsables y ejecutivos de la seguridad de la información en las empresas modernas, deberían asistir a la revelación del modelo de negocio que se esconde detrás de la función de seguridad de la información. ¿Qué es lo que vende el área de seguridad de la información? Para responder esta pregunta, en el entendido que somos dueño de un negocio y que debemos obtener utilidades, vamos a revisar las reflexiones de un reciente artículo publicado en el Sloan Management Review de la Escuela Sloan de Administración de Negocios del MIT, que establece una plantilla base para hacer evidentes los modelos de negocio.

¿Qué es un modelo de negocio?
Los académicos SINFIELD, CALDER, McCONNELL y COLSON (2012) del MIT establecen un conjunto base de preguntas para revelar la fuente misma del negocio, como insumo base para repensarlo y hacerlo evolucionar hacia nuevas fuentes de utilidad y desequilibrio requerido para posicionar a una empresa en su mercado. Las preguntas sugeridas son:

• ¿Quién es nuestro cliente objetivo?
• ¿Cuál es la necesidad que debemos satisfacer?
• ¿Qué debemos ofrecerle para satisfacer su necesidad?
• ¿Cómo nuestro cliente tendrá acceso a nuestra oferta?
• ¿Dónde debemos operar en la cadena?
• ¿Cómo obtendremos las ganancias?

Si miramos cada una de las preguntas, todas ellas buscan determinar con claridad aquello que debe movilizar los esfuerzos de los dueños de los negocios. Todo dueño está interesado en que su forma de hacer negocios tenga los resultados esperados y por tanto, estará atento en potenciar los recursos que tiene a su alcance para satisfacer los retos que su entorno le propone y cumplir con los requerimientos más exigentes de sus clientes. Así las cosas, detallamos a continuación algunas reflexiones que nos permitan tratar de responder la pregunta ¿qué vende la función de seguridad de la información - fsi?

Entendiendo el modelo de negocio de la seguridad de la información
En primer lugar, los clientes de la fsi son claros en cualquier organización: la alta gerencia, la gerencia media, los empleados de la empresa y sus grupos de interés. Cada uno de ellos tiene necesidades particulares y relacionadas entre sí, que deben ser analizadas y detalladas para entender cómo sacar las mejores ganancias en la aplicación del modelo de negocio de la seguridad de la información.

Como quiera que la fsi, considerando su nivel de madurez corporativa, puede estar articulada en el más alto nivel o asociada con una vista eminentemente tecnológica, tema que está fuera del alcance de este documento, se hace necesario conocer en profundidad qué moviliza el tema en cada una de las audiencias identificadas, su entendimiento a nivel empresarial y el discurso práctico que hace eco en las actividades cotidianas de cada uno de ellos.

Etimológicamente hablando la palabra necesidad establece dos ideas: la falta de algo indispensable para la vida o el motivo irresistible de alguna acción. (Tomado de: http://etimologias.dechile.net/?necesidad) En este sentido, intentemos encontrar esa “falta de algo o motivo irresistible” que hace que las diferentes audiencias encuentren en la seguridad de la información esa materia de conocimiento relevante para el negocio.

Para responder este reto, consideremos una reflexión por el complemento, ¿qué sucede cuando se materializa la inseguridad, cuando los riesgos se materializan? Generalmente ocurre la pérdida de confianza, de serenidad, se incrementa la incertidumbre natural del entorno y por tanto, se requiere tener mayor información de lo sucedido para comprender con detalles aquello que “no debió ser” pero que naturalmente ocurre: la inevitabilidad de la falla. No hay ninguna condición en el mundo que no esté sujeta a riesgos o a la inseguridad, por tanto, todo aquello que nos permite establecer y reconocer estados conocidos, será una forma de validar una sensación de control requerida frente a una situación.

En consecuencia, la alta gerencia de una empresa, en su empeño por mantener a flote el negocio, debe establecer un conjunto de variables y condiciones que le permitan un ambiente estable y tranquilidad relativa, es decir una posición vigilante, para avanzar en medio de sus retos corporativos. En este escenario, la información es una razón suficiente para tener motivos de incertidumbre, un motivo irresistible que enmarca el corazón de la toma de decisiones y las posiciones estratégicas de la empresa. Si esto es así, la fsi debe comprender las raíces de estos motivos y confrontar los dilemas de control que se manifiestan, bien por exposición a terceros, regulaciones e implicaciones económicas, como por impactos en la moral y comportamientos de sus empleados.

La confianza es entonces, un motivador fundamental de los ejecutivos de más alto nivel, que en procura de mantener en curso las estrategias de negocio, para materializar su modelo asociado, requieren que la información se mantenga dentro de los parámetros de confiabilidad propios del entorno de competencia y así mantener controlados los riesgos emergentes de sus relaciones con sus grupos de interés.

Por tanto, como bien dicen la sabiduría popular y la experiencia propia, la confianza tarda mucho en construirse y poco para perderla. En consecuencia, la seguridad de la información es una apuesta para edificar una respuesta a una condición de inseguridad permanente, con el fin de instaurar una esperanza de un comportamiento repetitivo que limita la materialización de una condición indeseada. Ahora bien, si ésta última se materializa, deberá haber una reacción coherente y decisiva que trate de controlar efectivamente los impactos sobre los “bonos” de confianza construidos.

Elementos base de la confianza en seguridad de la información
La competencia y la credibilidad son los elementos más destacados en la construcción de confianza. Estas condiciones, propias de la dinámica de los negocios, particularmente de la seguridad, son requisitos fundamentales de la operación de la función de seguridad de la información. La competencia habla de las habilidades y conocimiento específico aplicado, que se traduce en acciones prácticas visibles y evidenciables, que muestra en el profesional de seguridad de la información, la claridad conceptual y prudencia de sus acciones. La credibilidad es esa propiedad emergente que está fundada en el carácter de la persona, en la forma coherente y real en que toma decisiones basado en sus valores y principios.

En la seguridad de la información, los ejecutivos responsables de ella, deberán acrecentar su credibilidad con resultados concretos y percepciones positivas sobre el manejo de los activos de información, sobre la sabiduría para asegurar la operación de la empresa y la forma en que deben actuar cuando la inevitabilidad de la falla se presenta. La confianza antes, durante y después de la materialización de una falla parcial o total, define mucho el carácter de este ejecutivo, mide su nivel de preparación y valida su capacidad de toma de decisiones frente a situaciones críticas.

Es claro que no es necesario este tipo de situaciones reales para confrontar y validar los niveles de experiencia y capacidad de reacción de los ejecutivos de la seguridad, sino el nivel de preparación e interiorización que la cultura organizacional tiene frente a los incidentes, sus lecciones aprendidas y el refuerzo permanente de sus prácticas frente al tratamiento de la información.

De acuerdo con lo anterior, los altos ejecutivos de la empresa requieren métricas, estudios comparativos, auditorías independientes que permitan comprender cómo la organización se prepara para asumir el reto de los riesgos de seguridad de la información, buscando reducir la incertidumbre propia de un ambiente hostil, dinámico e impredecible que tienen los negocios actuales.

El negocio de la seguridad de la información está cercado por “depredadores” de confianza que buscan en cada momento doblegar sus fuerzas y desdibujar sus victorias previas, para infundir temores y preocupaciones en el colectivo que se quiere posicionar. Por tanto, la promesa de valor y el despliegue de la misma en las organizaciones, no puede ser otra cosa que una vista activa, propositiva y anticipatoria que busca adelantarse a los riesgos y situaciones propias de las operaciones para vivir con el “mínimo de paranoia bien administrado” que destruya la “falsa sensación de seguridad”.

La información: elemento fundamental del negocio de la seguridad de la información
Si entendemos que “una corporación no puede darle forma o controlar información (expuesta en las redes sociales, publicidad, ponderaciones de calidad o consideraciones regulatorias), sólo puede usarla; y debe integrarla con el fin de darle sentido (…)” (CORTADA 2011, pág 76), el negocio de la seguridad de la información encuentra en esta frase, la forma de darle respuesta a otra de las preguntas sugeridas por los teóricos del MIT, ¿dónde debemos operar en la cadena?

El negocio de la seguridad de la información debe operar en diseño de la estrategia corporativa y en la articulación de los planes tácticos, de tal forma que entendiendo la forma como se configura la generación del valor del negocio y cómo se despliega en cada uno de las áreas de negocio, entender esa “falta de algo” que se manifiesta en el tratamiento de la información dentro y fuera de la organización. En este sentido, cuando la seguridad de la información, articula y moviliza el valor de las estrategias corporativas, es capaz de capitalizar las más altas utilidades de su modelo (el de su negocio).

Por tanto, debemos pasar de una vista eminentemente tecnológica y de implementación (que es clave y relevante para hacer del modelo de negocio una realidad) a una asistida por servicios que renueven el entendimiento del mercado en el cual opera la organización, revelen patrones de comportamientos y condiciones regulatorias que impacten la empresa y por qué no, desarrollen ideas diferenciadoras desde la confianza con los terceros y grupos de interés, para crear un desequilibrio estratégico en su mercado creando condiciones que permitan negocios flexibles basados en una aproximación de riesgos calculados.

Amén de lo anterior, si en la información encontramos los movilizadores que articulan el modelo de negocio de la seguridad de información, todas aquellas actividades que verifiquen la confianza de los ejecutivos de las empresas serán un posible nicho de generación y articulación del valor propio del modelo de seguridad de la información. En este sentido, aspectos como el cumplimiento normativo, cifras confiables, operaciones confiables, comportamientos adecuados frente a la información y sistemas de información confiables son temas que deberán ser objeto de análisis y reflexiones para plantear la estrategia del negocio de la seguridad, buscando generar las utilidades requeridas para mantener la viabilidad de dicho negocio, en la función de seguridad de la información de una empresa.

“Si la habilidad para cambiar es ahora más importante, que la habilidad para crear e innovar (…)” (MULHOLLAND, A., PYKE, J. y FINGAR, P. 2010, pág.182) es natural que las organizaciones encuentren en las prácticas de seguridad y control, elementos fundamentales que les permitan avanzar con celeridad y claridad de un estadio a otro, pues si bien allí, existen estrategias formales y estrictas para asegurar una transición adecuada de un estado a otro, también están las condiciones particulares de cada organización, que reconociendo su nivel de riesgo y exigencias normativas, son capaces de adaptar las mismas y lograr los balances requeridos entre confiabilidad y agilidad empresarial para tener una posición estratégica privilegiada.

Reflexiones finales
Estamos en un contexto empresarial dinámico asistido por tendencias tecnológicas que retan los planes estratégicos organizacionales. La computación en la nube, las tecnologías móviles y las redes sociales establecen nuevas oportunidades y amenazas para las organizaciones, y por tanto, la seguridad de la información deben ser el aliado estratégico de la gerencia, para sacar el mayor provecho a las potencialidades de las mismas.

No podemos alcanzar mayores niveles de confiabilidad empresarial, entendida esta desde la perspectiva de la seguridad y calidad de la información, sino somos capaces de generar la suficiente confianza en cada uno de aquellos elementos que son de interés por parte de la alta gerencia. La sensación de confianza que podamos construir, el tratamiento adecuado de la información cada uno de los procesos de negocio de la empresa y el reconocimiento tanto interno como externo de dicha condición, deberá se parte de la agenda del ejecutivo a cargo de la seguridad de la información.

El negocio de la seguridad de la información tendrá sus mayores utilidades y dividendos, cuando sea capaz de reinventarse a sí mismo en cada proceso de negocio, cuando logre incorporar de manera consistente y evidente comportamientos confiables en el manejo de la información en los empleados de las empresas, cuando fortalece su posición vigilante y proactiva frente a los incidentes que se le materialicen, cuando el capital de confianza que ha construido se verifique y consolide con victorias tempranas y pronósticos confiables, que le permitan a su dueño, cumplir la promesa de valor a sus clientes y hacer de sus actividades, conversaciones de las juntas directivas.

Entender la seguridad de la información como un negocio, es vender un intangible que encuentra su referente en la experiencia, historia y práctica de los individuos, en las exigencias normativas y en el nivel de percepción de los riesgos, en pocas palabras, en una esfera social y psicológica que apenas iniciamos a descubrir y que requiere entender la complejidad, es decir la variedad de condiciones y estados de las personas, procesos y tecnologías, para revelar y consolidar el lenguaje político y estratégico que requiere dicho negocio para ser un actor fundamental en la construcción del futuro de las empresas.

Referencias
SINFIELD, J., CALDER, E., McCONNELL, B. y COLSON, S. (2012) How to identify business models. Sloan Management Review. Vol.53, No.2. Winter.
CORTADA, J. (2011) Information and the modern corporation. MIT Press.
MULHOLLAND, A., PYKE, J. y FINGAR, P. (2010) Enterprise cloud computing. A strategy guide for business and technology leaders. Meghan-Kiffer Press.