domingo, 21 de septiembre de 2014

Proteger, defender y anticipar. Tres competencias claves para enfrentar la inseguridad de la información en el siglo XXI.

Introducción
La transformación acelerada del entorno actual y las tecnologías emergentes, ubican a las organizaciones en una tormenta y exigencia perfecta: identificar los mejores escenarios para motivar los cambios que potencialicen las estrategias corporativas (BOJANOVA, 2014) y asegurar, en dichos escenarios, una gestión de riesgos que no solamente proteja a la empresa de situaciones no deseadas, sino que la defienda de posibles amenazas o ataques que no están previstos.
 
En este contexto, no es suficiente conocer o identificar posibles tendencias emergentes que puedan comprometer la esencia del negocio de la empresa, sino contar con una capacidad sostenible de anticipar y actuar, frente a nuevos agentes en el entorno que puedan sugerir riesgo o amenaza para la empresa, sin perjuicio de que estos, se puedan capitalizar para promover una vista alterna, donde la organización encuentre un nuevo nicho de posicionamiento no identificado previamente.
 
Tener la capacidad de ver en medio de la complejidad del ambiente, es decir, a través del tejido de relaciones que supone la realidad, demanda de los ejecutivos de la seguridad de la información desarrollar una capacidad de observación y acción diferente, que pone en evidencia las limitaciones de los modelos actuales y exige una vista renovada, para poder estar más cerca de las lecciones permanentes de la inseguridad de la información, ahora potenciada por un mundo conectado, en la nube, con redes sociales y dispositivos móviles.
 
En este sentido, los responsables de la seguridad deben fortalecer sus competencias específicas, esas propias del ejercicio de su función, con el fin de, no solamente atender las cuestiones administrativas propias de la coordinación de las operaciones, sino de anticipar las estrategias y modelos de protección y defensa requeridos; para lo cual se hace necesario un cambio de visión y de pensamiento, que pase de una vista estructurada de exclusivamente de protección, a una vista sistémica u holística que sintonice la protección, la defensa y la anticipación, es decir, proteger, defender y anticipar (PDA).
 
Lograr traducir las alertas del entorno, en análisis reales de situaciones emergentes, motivar un análisis relaciones de diferentes variables para ver aspectos novedosos de la realidad y conectar puntos aislados para construir vectores y amenazas emergentes, son tres condiciones básicas de las nuevas exigencias que se tienen para los ejecutivos de seguridad de la información de este milenio. Esto es, deben aprovechar los ejercicios tradicionales de los analistas en función de las probabilidades y riesgos materializados, y promover escenarios alternos, que jueguen con las posibilidades, como factor clave para sintonizar la armonía de los contrarios: la seguridad y la inseguridad.
 
Así las cosas, este documento presenta una breve reflexión académica sobre la formación de los ejecutivos de seguridad de la información, con el fin de analizar y revisar las estrategias actuales que aplican sobre aquellos y abrir nuevas posibilidades que orienten una vista más abierta y relacional que genere nuevas distinciones en el ejercicio de asegurar la información de la empresas de hoy y del mañana.
 
Cambio en el modelo de pensamiento: del Pensamiento lineal al Pensamiento complejo
Competir en un mundo en constante movimiento, demanda aprender y desaprender rápidamente, como quiera que si no se hace, la obsolescencia del conocimiento será el mayor verdugo de la idoneidad de la persona frente a las situaciones que se derivan de esta realidad. En tanto, no se advierta un cambio en la forma como actualmente descubrimos el mundo, estaremos caminando en el sendero inestable de la incertidumbre, el cual nos puede conquistar y someter según sus caprichos, o por el contrario, podemos aprovechar para anticipar acciones frente a situaciones inesperadas.
 
Si insistimos, como afirma Tobón (2013, pág.32) “en separar las partes para conocerlas, y poco en relacionar las partes entre sí desde un todo. …”, tendremos una vista parcial del mundo y estaremos perdiendo un segmento de la realidad, que de alguna forma va a reclamar su participación en el escenario actual, generalmente sin avisar y con consecuencias  imprevistas. Por tanto, se debe armonizar e integrar lo concreto de las partes a la totalidad, en un ejercicio de armonía de contrarios, certezas e incertidumbres en un mismo plano.
 
Las presiones actuales de la organizaciones para lograr mayor posicionamiento en su sector de negocio, reiteran el mensaje de cambio en la dinámica de los negocios, un escenario asimétrico, incierto e inesperado, que demanda de los ejecutivos corporativos la capacidad ver más allá de los datos y advertir situaciones novedosas, que son propias de los análisis de variables y sus posibles correlaciones, las cuales son interpretadas en escenarios conocidos y desconocidos para crear realidades alternas.
 
En esta lectura, el ejecutivo de seguridad de la información, no solamente debe considerar los hechos y datos que la realidad de su gestión le informa, sino revisar y cuestionar los modelos y prácticas que usa en la actualidad, considerando los objetivos estratégicos del negocio y las expectativas de la alta gerencia, para proponer escenarios contrapuestos que vayan más allá del esquema de protección actual y ponga a prueba sus propios controles, que permitan superar la falsa sensación de seguridad.
 
En consecuencia, la aplicación de técnicas y tecnologías emergentes como las “máquinas de aprendizaje”, los “grandes datos y analítica”, la correlación de eventos, la información de inteligencia sobre amenazas y los simulacros de escenarios de ataque (EMC-RSA, 2014), establecen los nuevos referentes para superar los tradicionales análisis de riesgos y controles y ajustarlos a la realidad de amenazas y riesgos conocidos, latentes, focales y emergentes (CANO, 2014).
 
Reinventar el ejercicio de protección de los ejecutivos de la seguridad de la información, demanda consultar prácticas semejantes en otros dominios de la seguridad (como la industrial, la física, la ambiental, entre otras), entender la dinámica de una empresa digital (ANDERSSON y TUDDENHAM, 2014) y la nueva realidad de amenazas y ataques globales, para reformar los fundamentos de su pensamiento, que pasen de una doctrina centrada en la protección, a conjugar tres verbos rectores de su nueva práctica: proteger, defender y anticipar.
 
Competencias claves para los ejecutivos de seguridad de la información del nuevo mileno
Los ejecutivos de la seguridad de la información del nuevo milenio deben entender que no es suficiente comprender y desarrollar su función basado en tecnología y prácticas, sino que deben incorporar elementos de política y regulación. (HATHAWAY y STEWART, 2014) En este sentido, se hace necesario abrir el espectro de formación de estos profesionales, con el fin de formarlos para la incertidumbre y no para las certezas.
 
Muchas de las estrategia de formación en seguridad de la información se fundamentan en certezas o escenarios conocidos, los cuales, si bien ofrecen motivos y forma de análisis que son generosos en explicaciones, se requieren modelos alternos que promuevan contextos mixtos que sugieran relaciones cruzadas entre tecnologías, prácticas, elementos políticos y jurídicos, que exijan la capacidad del responsable de la seguridad, para que piense en el margen de la hojas y proponga alternativas no tradicionales.
 
En este ejercicio, la protección de la organización, generalmente asociada con prácticas de tratamiento de información para los empleados, gestión de riesgos en el contexto de los procesos y tecnologías de apoyo para asegurar la información digital y en papel, así como su perímetro exterior, son elementos tradicionales que no tienen discusión en la lógica actual del responsable de la seguridad de la información; sin embargo ante la complejidad del entorno, no son suficientes para cruzar la tormenta de inestabilidades y vulnerabilidades no documentadas que debe enfrentar la empresa.
 
De manera complementaria, se presenta el concepto de defensa, como una capacidad de la organización para entender el escenario de combate, analizar sus posibilidades y establecer elementos que le permitan no solo defender, sino atacar, disuadir, negociar y  hacer inteligencia de su entorno. Defender entra en el lenguaje del responsable de la seguridad, como una forma de advertir que la empresa exige estar al altura del escenario donde actúa (en el contexto político y regulatorio) y, está dispuesta no sólo a proteger su territorio de operación, sino a hacerlo respetar cuando corresponda, incluyendo las acciones ofensivas si son requeridas.
 
Finalmente y no menos importante, es anticipar. Anticipar en seguridad de la información es mantener una revisión permanente del entorno, advertir nuevas relaciones y enfoques de los diferentes actores de su ámbito de operaciones, para conectar los diferentes puntos del escenario y reconocer vectores de riesgos y amenazas, que permitan mantener una vista fresca y renovada de la gestión de riesgos, en un contexto más dinámico y menos estático. Anticipar, es crear una vista integrada de la realidad que recrea posibilidades de análisis, para generar oportunidades de acción que comuniquen el sentido de urgencia, frente a la protección y la defensa tanto de la información como de los activos estratégicos respectivamente.
 
Reflexiones finales
Comprender las razones de las fallas, según Edmondson (2011), indaga en aspectos como desviaciones, falta de atención, falta de habilidad, procesos inadecuados, tareas retadoras (que no se realizaron adecuadamente), procesos complejos, incertidumbre, pruebas de hipótesis (fallidas) y pruebas exploratorias (con resultados indeseados), temas que son claramente parte del escenario de respuestas para comprender qué fue lo que pasó. Sin embargo resulta más valiosos, identificar las lecciones aprendidas que se pueden extraer, consultando las razones antes enumeradas.
 
En razón al anterior, si queremos enfrentar y renovar la formación de los ejecutivos de la seguridad la información, resulta conveniente explorar y desarrollar nuevas competencias específicas para su función, que no sólo consulten su conocimiento de la tecnología y la práctica, sino que integren y desarrollen una red de análisis extendido que vincule los aspectos políticos, regulatorios y prospectivos.
 
Parafraseando a Tobón (2013, pág.151), significa generar “un profundo cambio de paradigma en la educación, en el sentido que ya no se trata solo de formar y aprender, sino de aprovechar los escenarios…” inciertos para crear oportunidades reales donde se pongan a prueba los conocimientos, aprendizajes y desaprendizajes de los ejecutivos de seguridad de la información y así se sintonice la asimetría de la mente del atacante, con la realidad de su gestión.
 
Lo anterior supone un cambio de pensamiento en el ejercicio de la seguridad de la información que notifica al pensamiento causa-efecto, que existen otras formas alternas para descubrir y entender la realidad, sabiendo que plantear una estrategia de seguridad  y control, como anota Morin (referenciado por Tobón 2013, pág.156), “… sigue siendo la navegación en un océano de incertidumbres a través de archipiélagos de certezas. …”. Por tanto, se hace necesario desarrollar competencias especializadas para el ejecutivo de la seguridad de la información que mediante el aprendizaje e interacción de contextos, anticipe y renueve los modelos y prácticas de seguridad de la información empresariales.
 
Si bien, como anota Tobón en el escenario laboral-profesional (2013, pág.72), “las personas requieren tener un alto grado de idoneidad en lo que hacen, ya que de esto depende en alta medida la competitividad de la empresa …”, el ejecutivo de seguridad de la información debe maximizar el valor de sus propuestas de seguridad y control, aumentando la resistencia de la organización frente a los ataques, mejorando la capacidad analítica para anticipar amenazas y desarrollando una capacidad de respuesta y aprendizaje que asista los retos corporativos de mediano y largo plazo.  
 
Proteger, defender y anticipar deben ser los nuevos referentes del direccionamiento estratégico de los responsables de la seguridad de la información, con el fin de “tener flexibilidad en abordaje de las situaciones inciertas … identificando y afrontando estratégicamente la incertidumbre, considerando diferentes puntos de vista …” (Tobón 2013, pág.49), para repensar la realidad de la empresa y seguir de cerca el rastro de su maestra la inseguridad de la información.
 
Referencias
BOJANOVA, I. (2014) The digital revolution: what’s on the horizon. IEEE IT Professional. Enero/Febrero.
EDMONDSON, A. (2011) Strategies for learning from failure. Harvard Business Review. April.
ANDERSSON, H. y TUDDENHAM, P. (2014) Reinventing IT to support digitalization. Mckinsey Quarterly. Mayo.
EMC-RSA (2014) Transformación de la seguridad de la información. Enfoque en tecnologías estratégicas. Security for Business Innovation Council. Recuperado de: http://colombia.emc.com/collateral/solution-overview/h13125-report-sbic-strategic-technologies.pdf
HATHAWAY, M. y STEWART. (2014) Taking control of our cyber culture. Georgetown Journal of International Affairs. Julio. Recuperado de: http://journal.georgetown.edu/cyber-iv-feature-taking-control-of-our-cyber-future/
TOBON, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo, didáctica y evaluación. Cuarta Edición. ECOE Ediciones.
CANO, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf