domingo, 26 de enero de 2014

Cultura organizacional de seguridad de la información. Factores clave, relaciones relevantes e impactos organizacionales



Introducción

Si revisamos el panorama de riesgos sobre el manejo de la información de los últimos diez años, podemos observar los cambios vertiginosos e inesperados que se han presentado respecto de las estrategias de ataque y vulneración. Mientras al inicio del milenio, la información se convertía en un nuevo activo para algunas organizaciones y las ya conocidas técnicas de control de acceso seguían manteniendo el estatus de obligatorias, hoy dichas medidas, si bien siguen siendo válidas, no son suficientes dados los desafiantes métodos que buscan generar la brecha desde dentro de las organizaciones y no desde fuera.

Lo anterior supone una evolución acelerada de la mente del atacante, quien ahora ha desarrollado mayores destrezas para motivar a los usuarios para materializar sus estrategias con el concurso de engaños más elaborados y condiciones conocidas, las cuales demandan, no solamente de los perfiles más especializados, revisiones y análisis más exhaustivos y focalizados para identificar posibles nuevos vectores de ataques y amenazas.

Así las cosas, cada vez el entrenamiento de los supuestos “usuarios finales” exige no solamente el conocimiento de los engaños y estrategias conocidas respecto del acceso a información sensible por parte de los atacantes, sino involucrarlos y entrenarlos en la detección y análisis de las técnicas avanzadas de ataques y sus posibles variantes. Este nuevo desafío requiere desarrollar nuevas capacidades en las áreas de seguridad de la información para aumentar la resistencia de empresa frente a los nuevos ataques.

Los conocidos “usuarios finales” o sencillamente “usuarios”, son la línea crítica de protección y aseguramiento de la información en las empresas. Dependiendo de su rol o ubicación en la organización tendrán motivaciones o razones para asegurar o no la información. Muchos estudios indican que se deben establecer audiencias para poder incluir la distinción de protección de la información, otros hablan de una vista general incluyente y vinculante que se apalanque desde un liderazgo corporativo visible y otros como un tema mandatorio que exige consecuencias por acciones que vulneren los principios de protección de la información.

Cualquiera que sea el enfoque, la cultura organizacional de protección de la información es la que hace la diferencia al final. Esto es aquella red de significados, acciones, creencias y comportamientos que se asocian con la seguridad y control de la información, la cual define en sí misma la forma como una persona cuida y protege ese “algo” que representa esa figura valiosa para él y por ende para la organización.

Lograr encontrar ese vínculo o eslabón perdido, es una tarea que exige explorar el ADN de las empresas, de la cosmovisión de las personas y de la información en el contexto organizacional, para entender en profundidad la red de relaciones que se establecen para revelar la forma como se funda una cultura organizacional de seguridad de la información.

Por tanto, en el desarrollo de esta reflexión revisaremos aquellos aspectos que constituyen una cultura de seguridad de la información, la relaciones entre el gobierno corporativo, la cultura organizacional y la seguridad de la información, así como los ambientes que se pueden presentar cuando se quiere incorporar y desarrollar una cultura organizacional de seguridad de la información alineada y ajustada al modelo de generación de valor de una empresa.



Factores que constituyen una cultura de seguridad de la información

En este ejercicio, una reciente tesis doctoral (ALNATHEER 2012) establece al menos tres elementos claves para iniciar el análisis de este reto, lo que su autor define como los factores que constituyen una cultura de seguridad de la información: la apropiación, la concienciación y el cumplimiento, que son diferentes de aquellos que la influencian como son: soporte de la alta gerencia, cumplimiento y mantenimiento de políticas, entrenamiento en seguridad de la información y políticas respecto de las conductas éticas.

Para efectos de este documento, vamos a revisar los aspectos que constituyen una cultura de seguridad de la información, como fundamento para desarrollar y establecer una cultura organizacional de seguridad de la información, para en otro momento, analizar los factores que la influencian y los impactos sobre la misma.
 Figura No.1 Factores que constituyen la cultura de seguridad de la información (Adaptado de ALNATHEER 2012)

La apropiación, es la expresión que nos permite hacerme responsable de mis acciones respecto de la protección de la información. Es el ejercicio consciente y permanente de las personas para proteger los activos de información que tiene a su cargo. Lograr este nivel de interiorización, pasa por aceptar e incorporar dentro de las creencias personales y corporativas que la información es tan valiosa como los elementos visibles de la empresa y que marca la diferencia, frente al ejercicio estratégico y su relación con sus grupos de interés.

De acuerdo con el autor tres declaraciones son claves para comprender este primer factor:

  • Es mi responsabilidad proteger la información de mi organización
  • Me hago responsable de los resultados de las decisiones y acciones que tomo respecto de la seguridad de la información
  • Proteger la seguridad de la información es una parte importante de mi trabajo.

La concienciación, busca que las personas en el contexto organizacional se hagan conscientes de los riesgos y amenazas frentes a la protección de la información, que entiendan los impactos y beneficios de su papel en la protección de la información, así como de reportar todas aquellas desviaciones o fallas de seguridad de la información que se presenten. Esta consciencia, según el Diccionario de la Real Academia de la Lengua, se traduce como sentir, pensar, querer y obrar con conocimiento de lo que se hace respecto del aseguramiento de la información.


El autor establece las siguientes declaraciones relevantes para sintonizarnos con este segundo factor:

  • Soy consciente de mi roles y responsabilidades respecto de la protección de la información
  • Soy consciente del riesgo de no seguir la política de seguridad de la información
  • Estoy familiarizado con la política de seguridad de la información
  • Soy consciente y conozco los procedimientos para reportar las violaciones de seguridad de la información

El cumplimiento, está relacionado con la adherencia a las políticas, procedimientos y prácticas de seguridad de la información y demás relacionadas. Es el entendimiento práctico de los comportamientos esperados por la organización respecto de la protección de la información, los cuales son sujetos de auditoría y verificación con el fin de conocer el nivel de observancia de los individuos al cuerpo normativo, así como la forma de mantenerse sintonizado con la mejores prácticas nacionales e internacionales en los temas de seguridad de la información.


En este sentido, el académico establece un par de declaraciones que buscan representar este factor:

  • Yo estoy siempre adherido a la política de seguridad de la información
  • Otros adhieren a la política de seguridad de la información de manera similar

Como podemos ver estos tres elementos se deben relacionar entre sí para actuar alrededor de la protección de la información y modelar de alguna forma el comportamiento de los individuos en el contexto corporativo. Sin embargo, estos factores actúan dentro de un contexto superior, que los envuelve y los desarrolla a nivel corporativo, para lo cual se requiere entender las relaciones existentes entre la cultura organizacional, el gobierno corporativo y la seguridad de la información.



Relación entre cultura organizacional, gobierno corporativo y seguridad de la información

Los desarrollos doctorales de THOMSON (2007), nos ilustran sobre la forma como estos tres elementos interactúan y afectan de manera concreta el desarrollo de una cultura organizacional de seguridad de la información.


  Figura No.2 Relaciones entre el gobierno corporativo, la cultura organizacional y la seguridad de la información (Tomado de: THOMSON 2007, pág.66)

La relación marcada como A, interpretando a Thomson, exige que la organización reconozca y declare la información como un activo estratégico de la empresa, entendiendo que si bien, la junta directiva o el Consejo de Administración es el responsable del éxito de organización, también es el responsable de su información. Esto significa superar la creencia que la seguridad de la información es un problema eminentemente técnico e incorporar dentro de las discusiones de primer nivel las expectativas que se tienen respecto del manejo y control de la información como activo clave para el logro de las metas empresariales.

Esta relación demanda de la seguridad de la información, hacerse parte de la ecuación que soporta el modelo de generación de valor de negocio y hacer explícitos los niveles de aceptación de riesgo que la organización requiere, para continuar explorando nuevas posibilidades para incrementar su posicionamiento en su sector de negocio y motivar nuevas oportunidades para desequilibrar los mercados donde participa. Esto es en definitiva, que la seguridad de la información no sea un “costo”, sino una “inversión” que anticipe riesgos y asegure la operación.

La relación B, demanda que ese conjunto de significados, acciones, creencias y comportamientos empresariales influencien de manera positiva a los empleados en el ejercicio de protección de la información. Esto es, comprender en el contexto empresarial la manera como los supuestos compartidos tácitos, la teoría en uso y los artefactos corporativos, cultivan comportamientos saludables respecto del tratamiento de la información, preferiblemente adheridos a la política corporativa de protección de la información.

En este sentido, lo relacionado con políticas, procedimientos y prácticas alrededor de la seguridad de la información son elementos fundamentales que se deben integrar al quehacer de compañía, para que en el ejercicio diario de su cargo y responsabilidades, la protección no sea algo adicional que hay que hacer, sino eso que debo hacer para asegurar el desarrollo y logro de las estrategias en armonía con los grupos de interés.

La relación C,  define los comportamientos aceptables y no aceptables que se deben mantener en la organización. Es la forma como el ente que define la organización y su misión, declara la forma en que se deben coordinar las actividades, los comportamientos requeridos para asegurar una clara sintonía de esfuerzos y asegurar los resultados requeridos.

En otras palabras, cualquier inconformidad o comportamiento inadecuado requiere un revisión de fondo, que puede contener en su aseguramiento, una revisión individual frente a los compromisos adquiridos con la organización, una visión de cumplimiento respecto de la adherencia al cuerpo normativo organizacional o una sanción que indique la seriedad y formalidad que la empresa tiene y requiere en cada una de sus actuaciones, sabiendo que la no solo su reputación está en juego, sino la estabilidad de la empresa en el largo plazo.

La relación D, establece la vista integrada de gobierno corporativo, cultura organizacional y seguridad de la información. En una lectura tripartita y sintonizada podemos anotar que la cultura organizacional determina las acciones y comportamientos de los empleados de una organización, en la cual los ejecutivos de primer nivel deben promover el aseguramiento de prácticas de seguridad y control que influencien de manera positiva la protección de los activos de información, lo cual debe permear los supuestos tácitos compartidos, valor expuestos y artefactos que revela la organización en su diario actuar y que son compartidos por sus participantes.



Ambiente organizacional y la cultura de seguridad de la información

Como resultado de esta interrelación, anota Thomson, se pueden materializar algunos ambientes al interior de la organización respecto de la protección de la información, los cuales exhiben los roces internos que se pueden manifestar cuando alguno se advierte una desalineación en alguna de la relaciones previamente comentadas y los elementos de la cultura organizacional, leídos desde el modelo de Schein (1985).

Es frecuente encontrar que los valores expuestos y los supuestos tácitos compartidos generalmente no se encuentran alineados, lo que necesariamente implica que la visión del primer de la empresa no se puede materializar, generando conflictos en la ejecución de la estrategia que desvía la empresa del cumplimiento de sus objetivos estratégicos.

En seguridad de la información no es la excepción, como vimos en las relaciones del gobierno corporativo y la cultura organizacional, cuando la seguridad no hace parte de estos dos mundos, la información representa un elemento más de la dinámica de la empresa, pero no otro activo claves para apalancar su desarrollo y logro de metas.

En consecuencia, siguiendo los desarrollos de Thomson podemos tener al menos tres tipos de ambientes para incorporar la distinción de seguridad de la información, que manifiestan la desarticulación que se puede advertir en este ejercicio: uno coercitivo, uno utilitarista y uno de consenso de metas.

En el coercitivo, las personas laboran y desarrollan sus actividades pues es un mandato empresarial, donde generalmente no comparten los deseos e indicaciones de la alta gerencia. En esta situación, si las personas permanecen en la compañía, estarán en contravía de las acciones que se propongan y serán foco de motivaciones contrarías a las indicaciones corporativas. Por tanto, la consecuencia natural de este comportamiento será una acción correctiva.

En el utilitarista, los empleados desarrollan sus actividades diarias en gran medida porque hay un sistema de incentivos planeado que los beneficia si se ajusta lo establecido por alta gerencia. En este ambiente, las personas no necesariamente están de acuerdo o entienden los deseos de la gerencia, sin embargo estarán orientadas al comportamiento correcto, pues habrá una recompensa por ello. Por tanto, la consecuencia de no actuar de acuerdo con lo esperado, será motivo para no entregar el reconocimiento prometido.

En el consenso de metas,  la alta gerencia y los empleados se esfuerzan y coinciden en los mismos objetivos y metas. Esto no quiere decir que no hay un sistema de recompensas y consecuencias, sino que no son factores determinantes, para adherir a un comportamiento adecuado o esperado. Por tanto, la consecuencia de actuar del modo requerido, responde a un bien superior que comparten los miembros de la comunidad.

Si hacemos una lectura de estos tres ambientes en clave de seguridad de la información encontramos una relación directa frente a los múltiples métodos que se utilizan para incorporar, asegurar y aplicar una cultura de seguridad de la información: el castigo, el incentivo y el convencimiento respectivamente.

En una lectura de estos tres ambientes en el contexto de la seguridad de la información podríamos tener la siguiente vista:





Figura 3. Ambientes organizacionales y la seguridad de la información



En un ambiente coercitivo, la seguridad de la información será reactiva. Es un escenario donde no se aprende efectivamente del error. Se actúa por el miedo a la sanción y no por convencimiento de lo que significa proteger un activo.

Para evolucionar al siguiente ambiente, se hace necesario intervenir los supuestos básicos compartidos por las personas para motivar una reflexión diferente y enriquecida de lo que significa y representa la información, no solamente para la organización sino desde su vida personal donde de igual forma puede experimentar los riesgos y amenazas emergentes frente a las brechas de seguridad.

En un ambiente utilitarista, la seguridad de la información será inestable. La inestabilidad está asociada en que en algunos casos las prácticas serán exitosas y en otras no. Si bien las personas entienden la importancia del adecuado tratamiento de la información, no están convencidas de hacerlo de manera sistemática. En este sentido, los incentivos en tableros balanceados de gestión que afecten directamente intereses de éstos, serán las motivaciones más fuertes para que se logren los comportamientos requeridos.

Salir de este ambiente, implica crear una alineación y red de significados compartidos alrededor de la información y su protección. Esto es, reconstruir los supuestos tácitos compartidos de las personas, alinearlos con los valores expuestos y materializarlos en artefactos reconocidos y aprobados por todos los niveles corporativos.

Lo anteriormente expuesto, sugiere un ambiente de consenso de metas, donde las personas entienden y comparten lo que significa la información y su protección. Son conscientes de sus roles y responsabilidades, y así mismo asumen las consecuencias de sus acciones. En una lectura colectiva de la seguridad de la información, encuentran un bien superior por el cual luchar y no algo que se impone o debe hacer para alcanzar una recompensa.



Reflexiones finales

Como podemos observar en los diferentes análisis realizados en el desarrollo de este documento, la cultura de seguridad de la información y sus elementos que la constituyen, definen los aspectos fundamentales que se deben trabajar a nivel de las personas. Entender y modelar con profundidad lo que significa la apropiación, el cumplimiento y la concienciación demanda asumir el reto de la persona en el contexto organizacional y cómo desde su realidad se interesa y sintoniza con las necesidades de protección de la información de la empresa.

Esta realidad propia de cada individuo en la organización se proyecta  en cada una de las relaciones entre el gobierno corporativo, la cultura organizacional y la seguridad de la información, dándole sentido a la intervención empresarial en los aspectos cotidianos de la realidad del negocio, para conocer cómo nutren los comportamientos de los empleados para asegurar las prácticas requeridas de seguridad y control de la información y así, ilustrar de manera táctica lo que ocurre cuando alguna de estas relaciones, no se está presentando como corresponde frente a la protección de la información.

La revisión y evaluación de estas relaciones, crean ambientes de conocimiento, entendimiento y operación corporativos que afectan de manera directa el ejercicio de la seguridad de la información. Es así que los ambientes coercitivos, utilitaristas y de consenso de metas, materializan la forma como la cultura organizacional incorpora la seguridad de la información, apalancada en los comportamientos y actitudes de las personas.

Así las cosas, si bien no pretendemos agotar el estudio de la cultura organizacional de la seguridad de la información, si buscamos profundizar en algunos aspectos que generalmente no tomamos en consideración, para encontrar nuevas explicaciones que nos permitan evolucionar en la comprensión de la inseguridad de la información en el escenario de los comportamientos y acciones humanas.

Por tanto, entrar en las aguas profundas de crear, desarrollar y sostener una cultura organizacional de seguridad de la información, demanda abandonar la zona cómoda de los controles técnicos de seguridad, el cuerpo normativo de seguridad y control y las métricas de gestión de riesgos basados en umbrales de riesgo, para dar el siguiente paso evolutivo hacia la vista sistémica y recursiva de un modelo de madurez de competencias en seguridad de la información.

Esto es, un modelo que incluya los supuestos del diseño organizacional y sus implicaciones, así como los comportamientos deseados frente a la información que aumenten la resistencia de la organización frente a las manifestaciones de la inseguridad de la información, generando una postura de falla segura, proactiva y preventiva que sea sostenible y evolucione respecto de los cambios en su entorno.



Referencias

ALNATHEER, M. (2012) Understanding and measuring information security culture in developing countries: Case of Saudi Arabia. Unpublished Doctoral Thesis. Queensland University of Technology. Disponible en: http://eprints.qut.edu.au/64070/1/Mohammed_Al_Natheer_Thesis.pdf (Consultado: 19-01-2014)

THOMSON, K. (2007) MISSTEV: Model for information security shared tacit espoused values. Unpublished Doctoral Thesis. Nelson Mandela Metropolitan University. Faculty of Engineering. Disponible en: http://dspace.nmmu.ac.za:8080/jspui/handle/10948/717 (Consultado: 27-01-2014)

SCHEIN, E. (1985) Organizational culture and leadership. Jossey Bass, San Francisco.