domingo, 27 de mayo de 2012

La inseguridad de la información y las juntas directivas: ¿Déficit de atención?



Cuando se le pregunta al área de seguridad de la información ¿cómo avanza en su proceso de desarrollo de cultura de seguridad de la información?, la respuesta tiene varios matices. Por un lado, se advierte una clara motivación en las áreas de negocio en general, pues luego de cuestionar sus creencias sobre el tema, se transforma su hacer, lo cual permite movilizar más rápido las prácticas que se desean incorporar. Por otro, no es la misma lectura cuando se trata del entrenamiento requerido de los ejecutivos, quienes con agendas altamente comprometidas, generalmente no cuentan con el tiempo para atender este tipo de actividades.

Así las cosas, los esfuerzos de las áreas de seguridad de la información encuentran un alto potencial de acción en los diferentes frentes de los procesos de negocio, pero poco margen en los directivos que los soportan. La pregunta que nos podemos hacer en este momento sería ¿qué es lo que impide que los ejecutivos se encuentren más de cerca con los riesgos propios del tratamiento de la información?

Para tratar de responder esta pregunta, es preciso indagar un poco sobre la evolución de las juntas directivas y sus composiciones, en donde posiblemente subyace parte de la respuesta y la forma como movilizar estrategias que permitan hacer evidente la inseguridad de la información como parte de su agenda de negocios.

Las juntas directivas son entes de gobierno, poder y decisión que durante mucho tiempo han sido constituidas por personas preocupadas por los negocios, sus márgenes y las relaciones políticas que trazan el destino de las organizaciones. Ellas en sus sesiones de trabajo, mantienen un clima de reto y construcción colectiva, que busca todo el tiempo mantener la vigencia de la organización en medio de las tensiones de los mercados y los inesperados cambios de entorno que ponen a prueba la capacidad de resiliencia de la empresa.

Las juntas directivas reconocen aquellos elementos claves que permiten a las empresas mantenerse operando y viables con sus modelos de negocio. Es claro, que la cultura de riesgos es un lenguaje que ha encontrado eco en la agenda de las juntas, toda vez que en ellos no solamente se advierten situaciones que deben ser ajustadas o revisadas, sino posibles oportunidades que resultan invisibles frente a los resultados.

Los riesgos como pueden ser los de fuga y/o pérdida de información, cumplimiento, responsabilidad frente a incidentes y acceso a la información personal son elementos que inquietan a los miembros de junta, no por sus efectos directos e indirectos de las acciones en sí mismas, sino por las implicaciones legales que esto puede generar para el buen funcionamiento de las operaciones. En este sentido, la lectura asociada con sanciones o multas que se puedan derivar de estas situaciones, tendrá prioridad en la agenda de la junta, para asignar las responsabilidades correspondientes y cerrar la posible brecha que se ha identificado.

Según el estudio de HUFF et all, existe un déficit de atención de las juntas directivas hacia los temas de tecnología de información, tema que con frecuencia está asociado con un vocabulario técnico, que es reactivo frente a auditorías y con reporte del estado de grandes proyectos (generalmente cuando éstos no van bien), lo cual claramente establece una “barrera” mental de los ejecutivos (generalmente con escasa formación en tecnologías de información) frente a los retos y decisiones que requiere la organización para apalancar la estrategia de negocio.

Estos académicos establecen la necesidad de “alfabetizar” a los miembros de junta frente a los temas de tecnología de información y los riesgos que se derivan del uso de las mismas en las organizaciones. En este sentido, la atención de las conversaciones con la junta alrededor del tema de TI generalmente inician por sus riesgos (disponibilidad, seguridad, integridad de los datos y agilidad) y terminan (en el mejor de los casos) en los referentes estratégicos requeridos para transformar la empresa.

En consecuencia, las juntas directivas, si bien tienen en cuenta los temas de tecnologías de información, aún tienen oportunidades para interiorizar y comprender en contexto, lo que la tecnología puede posibilitar y el compromiso ejecutivo requerido para motivar y movilizar los resultados que la empresa espera, en los cuales su entendimiento de la tecnología es fundamental para hacer que las cosas pasen.

Con esto en mente, no es de extrañar el resultado que recientemente se ha publicado por el Carnegie Mellon University (CMU) Cylab, en su informe “Governance of Enterprise Security”, que revela, que si bien la juntas directivas están orientadas hacia la administración de los riesgos empresariales, existe aún una brecha en el entendimiento de la relación entre los riesgos de tecnología de información y los corporativos, situación que se profundiza con un sentir generalizado, donde el tema de seguridad de la información, está en manos de un responsable y no son ellos, los primeros implicados frente a los eventos que afecten la información de la empresa o de terceros.

De otra parte, el mismo estudio establece que el equipo directivo no está focalizado en aquellas actividades claves que pueden ayudar a proteger la organización frente a la materialización de riesgos importantes que afecten su reputación o generen pérdidas financieras. Los casos particulares están asociados con acceso a la información personal, brechas de seguridad en los sistemas o fuga de información, eventos que de una u otra forma serán prueba para validar el nivel de preparación de la corporación para enfrentar la inevitabilidad de la falla.

En línea con lo anterior, el informe comenta que las juntas directivas no han dado prioridad para establecer posiciones organizacionales para el manejo de adecuado de la seguridad y la privacidad de la información, dos temas independientes, que requieren manejos separados, pero convergentes en prácticas y acciones que permitan en cada uno de los procesos de la empresa, el gobierno de la seguridad de la información y el aseguramiento de los derechos individuales en el uso y acceso a la información personal.

De otra parte, el reporte detalla que muchas juntas directivas no han evaluado lo adecuado de una cobertura del riesgo de ciberseguridad, de las implicaciones de ataques coordinados y focalizados que puedan comprometer su operación, su reputación y debido cuidado, lo cual claramente deja abierta la posibilidad de acciones de repetición de terceros contra la empresa generando impactos financieros de mediano y largo plazo, cuyos efectos inmediatos posiblemente no se compadecen frente a las demandas futuras.

Si bien, los académicos de CMU, comentan que cada vez más los ejecutivos de primer nivel valoran la experiencia y habilidades en temas de seguridad y riesgo de TI al considerar un nuevo integrante de la junta, es evidente que los temas en la actualidad se amparan en los comités de gerencia establecidos, bien de auditoría o de riesgos, los cuales concentran su atención en los impactos particularmente financieros y de cumplimiento, como formas de motivar la atención de los directivos.

En conclusión, podemos advertir, como en el estudio de HUFF et all, que existe un déficit de atención de las juntas directivas en el tema de riesgos y seguridad de la información, que claramente afecta el desarrollo y posicionamiento del tema en las empresas que aspiran a ser clase mundo y moverse en medio de las exigentes condiciones de operación y relacionamiento que impone un mundo de información instantánea y continuamente en movimiento.

Por consiguiente, se requiere una renovación y reinterpretación de la seguridad de la información en clave ejecutiva, que permita profundizar el entendimiento actual de las juntas directivas, para incorporar al lenguaje de los negocios, una forma particular de hacer evidente las bondades y valor de las prácticas de la seguridad de la información, más allá de su connotación de cumplimiento y sus impactos frente a brechas de seguridad.

Así las cosas, el informe de CMU Cylab establece una serie de recomendaciones para ir transformando la situación actual hacia un estado más proactivo y ejecutivo que permita continuar incorporando la vista de seguridad de la información y la protección de los datos personales como un referente del negocio. Dentro de las recomendaciones están:
  • Establecer un Comité de Riesgos separado del comité de Auditoría y asignarle la responsabilidad del seguimiento de los riesgos de la empresa, incluyendo los riesgos de TI. Reclutar directores de TI con experiencia en gobierno de TI, riesgos y seguridad de la información.
  • Asegúrese de que la privacidad y las funciones de seguridad dentro de la organización estén separadas y que las responsabilidades están debidamente asignadas. El CIO (Chief Information Officer), CISO (Chief Information Security Officer) / CSO (Chief Security Officer), y CPO (Chief Privacy Officer) deben informar de manera independiente a la Junta Directiva.
  • Evaluar la estructura organizacional existente y establecer un equipo inter-organizacional que mantenga un monitoreo y reporte periódico sobre la privacidad y la seguridad. Este equipo debe incluir los altos ejecutivos de áreas como recursos humanos, relaciones públicas, jurídica, y adquisiciones, así como CFO (Chief Financial Officer), el CIO, CISO / CSO, CRO (Chief Risk Officer), el CPO, y los ejecutivos de las líneas de negocio.
  • Adelantar un examen de nivel superior de las políticas empresariales para crear una cultura de seguridad y respeto a la privacidad. Las empresas pueden mejorar su reputación mediante la valoración de la ciberseguridad y la protección de la privacidad, entendiendo éstas como parte de la responsabilidad social corporativa.
  • Revisar las evaluaciones del programa de seguridad de la organización y asegurarse de que concuerda con las mejores prácticas y estándares donde se incluya entre otras la respuesta a incidentes, la notificación de incumplimientos, la recuperación de desastres y los planes de comunicaciones ante crisis.
  • Asegúrese de que la privacidad y los requisitos de seguridad para los proveedores (incluyendo la nube y software como un servicio) se basan en aspectos clave del programa de seguridad de la organización, incluyendo auditorías anualesy exigentes requisitos de control. Revise cuidadosamente los procedimientos de notificación en caso de incumplimiento o incidentes de seguridad.
  • Llevar a cabo una auditoría anual de programa de seguridad de la información de la organización, que deberá ser revisado por el Comité de Auditoría.
  • Realizar una revisión anual del programa de seguridad de la información de la empresa donde se evidencie la eficacia de los controles, el cual deberá ser revisado por el Comité de Riesgos y asegurarse de que las debilidades identificadas cuentan con un plan de tratamiento.
  • La alta gerencia deberá solicitar informes periódicos sobre el aseguramiento de la privacidad y la administración de los riesgos de seguridad de la información.
  • Establecer y asignar presupuestos formales para los temas de privacidad y gestión de riesgos de seguridad de la información. 
  • Llevar a cabo auditorías anuales de cumplimiento sobre los temas de privacidad, respuesta a incidentes, notificación de incumplimiento, recuperación ante desastres y planes de comunicaciones ante crisis. 
  •  Evaluar los riesgos de ciberseguridad y las valoraciones de pérdidas potenciales frente a la suficiencia de la revisión de la cobertura del seguro de ciberseguridad.
Con estas recomendaciones los académicos de CMU Cylab establecen un plan de acción concreto que invita a las juntas directivas a incorporar la inseguridad de la información, los derechos fundamentales y las perspectivas de negocio como temas propios de las agendas de los ejecutivos, ya no como temas “que hay que revisar frente a la operación”, sino como aspectos claves de la estrategia y aseguramiento de la responsabilidad social empresarial, que son propias de las empresas de clase mundial.

Referencias
WESTBY, J. (2012) Governance of Enterprise Security. How Boards & senior executives are managing cyber risk. Cylab Report. Carnegie Mellon University Cylab. Disponible en: http://www.rsa.com/innovation/docs/11656_CMU_-_GOVERNANCE_2012_RSA_Key_Findings_v2_%282%29.pdf (Consultado: 27-05-2012)
HUFF, S., MAHER, P. AND MUNRO, M. (2006) Information Technology and the Board - Is There an Attention Deficit? MIS Quarterly Executive, Vol. 5, No. 2, June, pp. 1-14.

lunes, 14 de mayo de 2012

Compartir o proteger: Tensiones en la gerencia de la seguridad de la información

Con frecuencia se anota que la vida se hace más libre y plena cuando se comparte, cuando se nutre de las realidades de los otros y capitalizamos las lecciones aprendidas que nos permiten ver “por fuera de la caja”. Compartir es un ejercicio de generosidad interior que se traduce en una afinidad trascendente que encuentra en el otro, su mejor destinatario y mejor excusa para construir. 

Cuando se comparte, las personas experimentan la plenitud de donarse a sí misma, como esa ofrenda personal que hace de aquello que se entrega, una expresión íntima de su querer y propio ser. Compartir en la vida cotidiana, sabiendo la volubilidad de los seres humanos, previene al hombre sobre sus impactos y riesgos, sobre la forma como será utilizada, y lo que es más importante, sobre la manera como ésta podrá ser “manejada” para producir y recrear los intereses de terceros, incluso por encima de los propios. 

Bien se anota en la literatura, que una cosa es nuestra huella digital y otra nuestra sombra digital en internet; mientras la primera se traduce en los rastros que dejamos al navegar por los sitios web alojados en los servidores de la red y la otra, lo que la información allí publicada, dice o revela sobre nosotros. En este contexto, la información que manejamos a diario requiere ser analizada frente a los riesgos propios de su tratamiento en los procesos de la empresa y las personas, para evitar que “terceros” sin autorización o personas con intenciones desconocidas, puedan invadir los terrenos propios de la esfera personalísima de éstas y poner en peligro la viabilidad de las mismas en un contexto de cambios y dinámica internacional. 

Con esto no queremos indicar que exista una extraña motivación o deseos ocultos de personas u organizaciones frente a la información personal o empresarial, que genere “delirios” de persecución y permanente zozobra e inquietud en las organizaciones e individuos, sino más bien plantear una reflexión propositiva que permita ubicar a la información como ese elemento estratégico que hace la diferencia en el mundo personal y empresarial, cuando se trata de encontrar nuevas razones para escribir derecho con letras cursivas. 

De acuerdo con Foster (2012) existe un espectro de análisis entre el compartir y el proteger que nos permite entender mejor las tensiones propias de estas dos distinciones. Para ello define ocho variables complementarias entre sí que nos revelan motivaciones y declaraciones que son claves para avanzar en el estudio del balance requerido de las dos vistas sobre la información. Ellas son: ley, requerido por la industria, minimizar pérdidas, revelación de vulnerabilidades, expectativas públicas, valor financiero, reputación y recomendación de la industria. 

Cuando el movilizador del tema son las regulaciones o leyes, comenta Foster, se tiene que “la información es protegida internamente pues existen normas o estatutos que dictan un mandato sobre el aseguramiento de su confidencialidad”, cuyo incumplimiento genera impactos negativos, bien de carácter sancionatorio interno con repercusiones externas, o exclusiones definitivas en ciertos sectores de negocio. 

Del mismo modo, cuando el tema se apalanca en aquello requerido por la industria, “la información se protege dado que es una práctica estándar en la industria, lo cual implica prácticas de aseguramiento”. Esto significa, que para estar un sector particular, son criterios de ingreso y aceptación, la acreditación de prácticas en tratamiento de la información como base de la relación de confianza entre sus miembros. 

Así mismo, si lo que moviliza el adecuado tratamiento de la información es minimizar las pérdidas, la declaración se articula como “la información se protege limitando el acceso de las personas a la misma, para prevenir su pérdida hacia el exterior”. Esta declaración, busca asegura las responsabilidades de los participantes sobre la información y prevenir fugas y/o pérdidas de información intencionales y no intencionales. 

De otra parte, cuando hablamos de revelación de vulnerabilidad, el autor expresa: “la información se protege, pues es viable descubrir fallas que pueden ser explotadas por terceros y alcanzar elementos valiosos de la empresa o la información”. Esta expresión nos muestra la sensibilidad del manejo de las debilidades de seguridad y control, las cuales, si no observan un tratamiento adecuado, pueden causar detrimento y/o compromiso del nivel de confianza en sus grupos de interés. 

Si el movilizador son las expectativas públicas, el tratamiento de la información, estará articulado con la confianza que los terceros tienen del aseguramiento de su confidencialidad frente al acceso por parte de la organización o personas autorizadas. La confianza es el valor fundamental sobre la cual descansa la promesa empresarial del acceso a la información personal y corporativa. 

Por otro lado, si la información requiere se protegida por el valor que representa, esto es que pueden ser aprovechada para alcanzar ganancias económicas, estamos hablando de la protección del conocimiento inherente a la información y lo que ello significa en términos financieros. Esto es, cómo las empresas aseguran aquellos elementos sensibles que marcan la diferencia en su sector y generan diferenciación del valor frente a sus competidores. 

No hay duda que la reputación es un factor clave que protege el adecuado tratamiento de la información. En este sentido, la información revestida de su valor estratégico, debe ser asegurada para minimizar los impactos de una eventual fuga de información, que afecte su imagen, genere sanciones legales, perdidas de clientes o posición privilegiada en su ámbito de negocio. 

Finalmente y no menos importante, la información debe ser protegida atendiendo las recomendaciones que la industria establece para mantener un nivel de aseguramiento que permitan una relación homogénea para sintonizar los deseos de compartir y la necesidad de proteger aquello que se declara valioso para ambas partes. 

En conclusión, podemos afirmar que cualquiera de estas variables establece una forma concreta de elevar la discusión de la protección de la información, del ámbito puramente técnico de operación, a los impactos y efectos que se advierten en la organización, que bien marcan las consecuencias a las cuales eventualmente la organización estará expuesta y la forma de llamar la atención y hacer parte de agenda de alta gerencia. 

Gartner advierte en un reciente estudio publicado por uno de sus analistas en abril de 2012, que la información y la tecnología serán usadas de manera agresiva por los líderes de negocio e individuos para repensar los parámetros actuales de los modelos de negocio y generar una ambiciosa colaboración entre las personas, para crear conceptos más allá de lo que el mundo real nos puede ofrecer.

En este escenario, no es posible detener el uso de tecnologías móviles, los servicios de información instantánea ni la natural progresión de las empresas hacia estrategia en la nube, pero si identificar de manera selectiva aquella información y áreas claves de las empresas en las cuales, luego de un ejercicio consciente y estructural basado en riesgos e impactos, se requiere balancear la necesidad de protección con la exigencia de compartir.

La tensión entre los conceptos se presenta siempre que se contraponen las necesidades corporativas de visibilidad y presencia en internet, con las exigencias de los mercados y las prácticas de industria frente a la información, que articulan en sí mismas dos condiciones relevantes para empresas del siglo XXI, la transparencia y la rendición de cuentas, con la protección del valor y la generación de ventajas competitivas con el uso de la información.

Bien anotan los especialistas en estrategia que todo aquello que hoy ha sido exitoso y relevante para el logro de los objetivos empresariales, mañana terminará indefectiblemente convertido en un “commodity”, algo que puede ser claramente copiado y superado, y que en corto plazo, no será un diferenciador empresarial, sino algo que se requiere para competir.

En este contexto, las reflexiones sobre la tensión entre el compartir y proteger adquieren una dimensión particularmente estratégica, pues en el ejercicio de conocer aquello que resulta importante para la estrategia empresarial y la rendición de cuentas a terceros, la información juega un papel relevante que explica el papel de la organización en la dinámica del tejido empresarial.

Así las cosas, las tensiones aumentan cuando los mercados demandan negocios innovadores y quebrantamiento de reglas, los cuales necesariamente implican análisis de información de grandes datos, inteligencia de negocios y analítica especializada, que claramente genera conocimiento y condiciones novedosas que articulan una nueva forma de intervenir el entorno, posiblemente cambiándolo. Por lo tanto, la esencia del compartir estará mediada por la idea del proteger, pues la supervivencia de la empresa, juega un papel relevante ante el desarrollo de una posición estratégica privilegiada de la organización.

Ahora bien, en un mundo dominado por la información y la necesidad de anticipación a los eventos futuros, es natural que los ciudadanos conozcan la realidad de la empresa frente a sus retos venideros; es decir, que las organizaciones ejerzan su gobierno corporativo haciendo transparentes sus procederes y resultados frente a sus grupos de interés. En razón con lo anterior, se exacerba la necesidad de compartir y revelar información frente a la de proteger y restringir, toda vez que las bondades del ejercicio de gobierno generan confianza inversionista y un ambiente propicio integrar los impactos sociales y las exigencias corporativas.

Por consiguiente, cuando la motivación de transparencia se haga más evidente y requerida por los grupos de interés, la esencia del proteger estará mediada por la de compartir, esto es, la información deberá ser revelada conforme a los acuerdos establecidos con las comunidades, sin mancillar la protección de la reputación corporativa, que si bien se verá enaltecida con la rendición de cuentas, deberá ser asistida con la reserva de la información relevante para proteger su viabilidad en el futuro.

Así las cosas, resolver la tensiones entre el proteger y compartir, será un ejercicio de tensión creativa que lleve a las organizaciones a encontrar el justo medio de los griegos, que descubra la virtud que cumpla con la necesidad de ejercitar el gobierno empresarial y su responsabilidad con sus grupos de interés y la legítima defensa de sus intimidades estratégicas y de negocio para mantener su rumbo en el cumplimiento de sus metas grandes y ambiciosas.

Referencias
FOSTER, C. (2012) Sharing o controlling? Examining the decision to segregate information within the organization. ISACA Journal. Vol.2
MAHONEY, J., MORELLO, D. y ROBERTS, J. (2012) Exploring the future: Everyone’s IT. Gartner Research.