lunes, 3 de noviembre de 2014

Transformando la función de la seguridad de la información. Anticipando el futuro, entendiendo el presente.


Introducción
De acuerdo con el Instituto para el futuro (Fidler y Gobis, 2012) son seis las fuerzas motrices que dominarán el futuro: el nuevo ecosistema mediático, un mundo informatizado, las organizaciones superestructuradas, el mayor protagonismo de las máquinas y los sistemas inteligentes, la mayor longevidad y un mundo globalmente conectado. De igual forma, Gartner (Howard, Plummer, Genovese, Mann, Willis y Smith, 2012) indica que el mundo conocido estará gobernado por cuatro fuerzas convergentes: la computación en la nube, las redes sociales, la computación móvil y los grandes datos y la analítica.
 
Estas tendencias y consideraciones ponen de manifiesto fuerzas disruptivas que cambian la manera cómo hacemos las cosas y la forma cómo conocemos y descubrimos la realidad. En este contexto, los académicos Fidler y Gobis (2012) establecen diez capacidades que serán cruciales para el éxito en el trabajo. Dichas capacidades son: pensamiento computacional, dotes de diseño, gestión del volumen cognitivo, nueva alfabetización mediática, transdisciplinariedad, interpretación, inteligencia social, pensamiento innovador y adaptabilidad, competencia transcultural y colaboración virtual.
 
Estas capacidades, implican necesariamente enfrentarse a un mundo cada vez más complejo, entendiendo esta palabra, no como dificultad o algo complicado, sino como la necesidad humana para desarrollar estrategias y mecanismos para aumentar su variedad frente a nuevas formas como se advierte la realidad. Es decir, crear una interrupción del flujo esperado de acciones en nuestra relación con otros o con el mundo, para crear un estado de inseguridad que permita entrar en un nuevo ciclo de aprendizaje (REYES y ZARAMA, 1998).
 
Si lo anterior es correcto, el cimiento de la función y gobierno de seguridad de la información es crear estados de inseguridad permanentes, que permitan cuestionar los fundamentos de su operación y posición estratégica, entendiendo que ella está sometida al imperio de una ley esencial en su práctica: la inevitabilidad de la falla. Si bien, no podemos inducir a una práctica paranoica de la gerencia de la seguridad (gestión por miedo, dudas e incertidumbre), es importante comprender que la inseguridad de la información acampa en medio del conjunto de relaciones que se dan entre los componentes de un sistema, las cuales pueden generar, algunas veces vulnerabilidades inesperadas o nada intuitivas (Bonabeau, 2007).
 
Así las cosas, tratar de pronosticar el comportamiento o las tendencias más significativas de la inseguridad de la información, es un ejercicio retador, donde se corre el riesgo de no ajustarse con lo que la realidad revela. Sin embargo y teniendo claro que esta es una actividad que implica tratar de acertar en un blanco en movimiento, se presentan y analizan tres temas vitales (la relevancia de las juntas directivas, las capacidades relevantes de la función de seguridad de la información y la nueva generación de estrategas en seguridad de la información) identificados en informes especializados de la industria, noticias y reportes de investigación, con el fin de anticipar reflexiones claves y formas de pensamiento alternas para los ejecutivos de seguridad de la información, que posibiliten hacer distinciones nuevas en el contexto de su práctica actual y proyectadas en el futuro.

Relevancia de las actuaciones de la junta directiva
El papel estratégico de las juntas directivas depende de factores como la cultura y los requerimientos legales del país donde opera. En este sentido, puede asumir diferentes posiciones frente a la estrategia de la empresa: supervisar, cocrear o soportar, los cuales definen en sí mismas, la forma como actuará respecto de los cambios en el contexto de su industria (COSSIN y METAYER, 2014).
 
En su posición como supervisor, la junta directiva invierte tiempo para monitorizar el desempeño corporativo y el comportamiento del equipo ejecutivo. Es decir, revisa y asegurar que los ejecutivos de primer nivel de la empresa seleccionan un curso de acción y lo implementan de acuerdo con las exigencias propias de la estrategia, revelando inconsistencias que se puedan presentar respecto de la vista del negocio de la empresa (COSSIN y METAYER, 2014).
 
Como cocreadores, los miembros de las juntas directivas, contribuyen directamente a la cocreación de la estrategia de la empresa. Esto es, ponen a disposición de los ejecutivos de primer nivel su experiencia en otras compañías, contactos relevantes con grupos de interés y situaciones claves de otras industrias, con el fin de plantear reflexiones que posibiliten debates estratégicos más allá de las preconcepciones de la industria, facilitando posiciones flexibles para abrir nuevos panoramas que concreten acciones específicas que hagan la diferencia en su sector (COSSIN y METAYER, 2014).
 
Como soporte, la junta emerge como ese cuerpo colegiado que fortalece la credibilidad y autoridad del equipo ejecutivo empresarial. A pesar de la distancia natural que existe entre la gerencia de la empresa y la junta, ésta última genera valor ofreciendo apoyo y soporte a la compañía dentro y fuera de ella, como quiera que esta figura de gobierno, interviene en momentos claves de la empresa que le permiten cruzar momentos difíciles y situaciones controversiales que puedan poner en peligro la permanencia de la organización (COSSIN y METAYER, 2014).
 
Cualquiera que sea el papel que juegue la junta directiva, en el contexto de los riesgos y amenazas emergentes frente la seguridad de la información, se deben documentar y motivar para comprender las asimetrías de las relaciones y efectos que tiene la conectividad empresarial y las vulnerabilidades a las que puede estar expuesta la empresa. Si bien, es importante notificarles que la inevitabilidad de la falla estará presente todo el tiempo y que una brecha puede ocurrir en cualquier momento, también deberán tener en su radar una vista ejecutiva de los riesgos y amenazas conocidos, latentes, focales (o de industria) y emergentes (CANO, 2014) para poder incluir en sus reflexiones estratégicas los impactos de situaciones que afecten el modelo de generación de valor de la empresa y así, afinar las decisiones que se pueden tomar respecto de la información y la estrategia de la compañía.
 
Capacidades relevantes para la función de seguridad de la información
Las capacidades empresariales y la tecnología de información están íntimamente relacionadas, pero frecuentemente son incomprendidas. Una capacidad es la habilidad que se tiene para entregar de manera confiable y consistente un resultado específico relevante para el negocio (ÁLVAREZ y RAGHAVAN, 2010).
 
En este sentido, cualquier iniciativa que se plantee para potenciar estas capacidades, deberá estar alineado frente a dos criterios claves, valor potencial de la misma y la importancia estratégica para empresa. Mientras el primer criterio busca mejorar el desempeño corporativo y reducir costos ajustados con la estrategia planteada por la organización, el segundo busca identificar capacidades distintivas donde pueda invertir para alcanzar una posición clave en su segmento de mercado (ÁLVAREZ y RAGHAVAN, 2010).


Alto
 
 
Valor potencial
 
 
Bajo
Refinar
Crecer
Mantener las luces encendidas
Sostener
 
Bajo Importancia estratégica                           Alto

Tabla No.1 Inversiones de TI (Adaptado de Álvarez y Raghavan, 2010)

 
Basado en lo anterior, se establecen cuatro cuadrantes que definen las orientaciones de inversión requeridas para potenciar las capacidades de una comunidad de negocios. A continuación se resumen los cuadrantes y sus implicaciones, las cuales luego serán revisados y leídos en el contexto de la función de seguridad de la información.
 
Cuando el valor potencial (VP) y la importancia estratégica (IE) es baja, las inversiones que se destinan son para mantener lo que se tiene en operación, lo que los autores denominan “mantener las luces encendidas”. No hacer estas inversiones debilitan la posición actual de la empresa y ceden terreno sobre el estándar base que las empresas tienen en su contexto de negocio.
 
Si el VP es bajo y la IE es alta, se habla de inversiones que permiten sostener la posición estratégica de la empresa; proyectos que pueden requerir mejoramientos marginales para realizar el potencial total de los mismos. Es decir, son aquellas iniciativas que están concebidas para generar importantes transformaciones tácticas y operativas que aún no despegan para dar todo el potencial con las cuales fueron creadas.
 
Si el VP es alto y la IE es baja, las inversiones diseñadas son para refinar, es decir, para ajustar los proyectos vigentes con el fin de ganar eficiencia, mejorar las operaciones y optimizar la fuerza laboral propia de la ejecución de las actividades previstas. Si bien estas inversiones buscan mantener a la empresa en el negocio, no la convertirán en organización de clase mundial.
 
Finalmente, si el VP es alto y la IE es alta, las inversiones se califican de crecimiento (para crecer), aquellas que hacen falta para cubrir las brechas de aquellas capacidades que más requiere a la empresa. Estas capacidades se articulan internamente entre áreas, productos y servicios buscando cumplir con las expectativas de las diferentes partes involucradas.
 
Si leemos este instrumento en el contexto de la función de seguridad de la información, podemos tener una lectura que detalle sus capacidades fundamentales con los siguientes énfasis.


Alto
 
 
Valor potencial
 
 
Bajo
Defender
(El valor de la información de la empresa con inteligencia activa)
Anticipar
(actuar proactivamente, limitando impactos en la operación, la reputación y el valor)
Proteger
(El desarrollo del programa de seguridad de la información)
Asegurar
(El flujo de la información estratégica en los procesos claves)
 
Bajo  Importancia   estratégica                                                 Alto

Tabla No. 2 Capacidades para la función de seguridad de la información
 

Proteger, implica reconocer las prácticas actuales de seguridad y control vigentes en la empresa y mantener las inversiones que allí se tienen, buscando alcanzar cada día un mayor nivel de madurez que permita avanzar y fortalecer la distinción de protección, creando escenarios de historias de éxito que apalanquen el programa actual de seguridad de la información.
 
Asegurar, es profundizar en la identificación y protección de los procesos claves de la empresa, donde la información estratégica es parte de las conversaciones de los ejecutivos y donde el potencial de uso de la información, se estudia en el contexto de las aplicaciones actuales y futuras del negocio, como fuente potencial de nuevas ventajas claves para crear movimientos disruptivos en el sector.
 
Defender, es entender el territorio donde se mueve la organización y sus negocios, con el fin de conocer y establecer escenarios de riesgos y amenazas que permitan estudiar posibles flujos de información potencialmente valiosa, con la cual se puedan desbalancear posiciones de jugadores claves de los mercados y favorecer las estrategias planteadas por la empresa. La defensa es del valor de la información, que se concreta en funciones de inteligencia activa que reconstruyan los escenarios de actuación de la empresa.
 
Anticipar, es concretar visiones y realidades emergentes que pronostiquen cambios inesperados y realidades imprevistas, frente a las cuales la organización pueda actuar sin mayores contratiempos, limitando impactos en su operación, reputación y valor; con la menor afectación de sus grupos de interés y la mayor claridad para la junta directiva frente a los cursos de acción definidos ante la inevitabilidad de la falla.
 
Si la función de seguridad de la información, no logra desarrollar con claridad alguna de las capacidades mencionadas, comenzará a destruir el valor que haya podido crear previamente, como quiera que cada una de ellas lo que hace es reforzar el ejercicio estratégico efectuado desde la realidad de los riesgos de pérdida y/o fuga de información sensible para empresa; lectura que define y declara a la información como un activo intangible relevante para la supervivencia de la empresa en el largo plazo.
 
Nueva generación de estrategas en seguridad de la información
El contexto de los negocios actuales y la manera como la información le da forma a nuevas y retadoras estrategias para crear realidades nunca antes vistas, nos pone en contexto sobre la nueva generación de estrategas que son requeridos en seguridad de la información.
 
Si bien, la experiencia en la gestión de riesgos, el manejo de presupuestos, el tratamiento de las crisis e incidentes, las capacidades comunicativas y conocimiento técnico de las tecnologías de seguridad informática, son elementos claves y requeridos para enfrentarse a la realidad de la gerencia y gobierno de la seguridad de la información de una empresa, se requieren habilidades y competencias complementarias que renueven estos conocimientos y los actualicen en el mundo de inestabilidades y dinámicas donde hoy ocurre la práctica de seguridad y control de las empresas.
 
Dentro de las nuevas competencias requeridas están la inteligencia social, la transdiciplinariedad, la disposición para aprender y la correlación de múltiples datos y fuentes de información.
 
La inteligencia social procura crear valor solucionando problemas de la sociedad, aceptando e invitando a la competencia a participar, empoderando a los grupos de interés para que formen parte de la solución (SANTOS, 2014), en pocas palabras, colaborando y forjando relaciones de confianza que procuren relaciones novedosas donde la práctica de seguridad de la información, facilita una interacción sana y ajustada a los acuerdos establecidos, que disminuya los costos ocultos de una vista deshonesta de un uso no apropiado de la información.
 
La transdisciplinariedad, exige curiosidad y voluntad para seguir aprendiendo después de haber terminado la educación formal. Esto es, educar a investigadores para que puedan hablar el idioma de otras disciplinas (FIDLER y GORBIS, 2012). Esta realidad en el contexto de la función de la seguridad de la información, es hacer una lectura extendida de la práctica de seguridad y control en el dominio de otras disciplinas. Particularmente hoy el diálogo de la seguridad de la información con el derecho, la biología, la gestión documental, la ética y los valores, el pensamiento de sistemas y otras más, es amplio y generoso, lo que implica renovar los lentes estratégicos y tácticos de la gestión y gobierno de la seguridad en otras disciplinas como fuente de innovación y prácticas emergentes.
 
La disposición para aprender, como lo indican Reyes y Zarama (1998) pasa por tres momentos: declarar que no se sabe, aceptar la posibilidad de una ceguera cognitiva (aceptar que no sabemos) y declarar un maestro. Para los ejecutivos de la seguridad de la información “el no saber” les crea un conflicto interno que los margina de nuevas oportunidades para ver aquello que no se ve, pues ven comprometida su idoneidad profesional que puede deteriorar su imagen delante de los ejecutivos de la empresa.
 
De otra parte, las presiones internas les exigen saber lo que pasa frente a situaciones inesperadas, lo que limita su capacidad para hacerse conscientes que “saben que no saben” y darse la oportunidad para descubrir elementos emergentes que se revelan en una situación particular, que son desconocidos y novedosos en ese contexto.
 
Si lo anterior es ya un ejercicio de humildad profesional, el declarar un maestro que lo oriente por los nuevos linderos de reflexión, exige una alta dosis de autoridad y confianza. Otorgarle el permiso y la condición de maestro a otro para que lo saque de sus cegueras cognitivas y confiar en las propuestas metodológicas y prácticas que se le ofrecen para que transite el camino de aprender y desaprender, es entender e interiorizar el ejercicio natural de la inevitabilidad de la falla: educar no para enseñarle algo que no sabía, sino para convertirlo en alguien que no existía.
 
La correlación de múltiples datos y fuentes de información, busca generar la capacidad del ejecutivo de seguridad de la información para convertir el flujo masivo de datos, representados en informes, noticias, contextos, impactos, tendencias e indicadores, para aprender a filtrar, descubrir patrones emergentes y centrarse en lo realmente importante (FIDLER y GORBIS, 2012). Es claro que esta capacidad, deberá estar asistida de tecnología de información relevante, sin perjuicio de la habilidad cognitiva que debe desarrollar el ejecutivo para no dejarse sobrecargar de información y datos y así no perder el foco de sus análisis y resultados.
 
Reflexiones finales
De acuerdo con el SECURITY FOR BUSINESS INNOVATION COUNCIL (2014), si un ejecutivo de seguridad de la información quiere mantenerse “adelante en la curva” en su posición organizacional, debe atender las siguientes cinco recomendaciones:
  • Cuente con una posición clara de la seguridad de la información y su arquitectura que contengan las tendencias de las personas de incorporar nuevas tecnologías que ellos usan.
  • Enmarque sus requerimientos en términos de las capacidades que usted requiere desarrollar, más que en términos de productos o grupos de ellos disponibles en el mercado.
  • Mire y revise nuevos proveedores en seguridad de la información. En dos o tres años pueden tener soluciones que usted puede necesitar.
  • Articule los problemas de negocio que usted necesite resolver en dos o tres años y empiece a presionar a los proveedores para proveer las herramientas que usted necesita.
  • Busque información sobre tendencias tecnológicas emergentes.
 
Si bien las anteriores son recomendaciones prácticas para el ejecutivo de seguridad de la información en el contexto corporativo, es importante que atienda en los siguientes años al menos tres elementos claves en su ejercicio empresarial como son el entendimiento del papel de la junta directiva, las capacidades claves de la función de seguridad de la información y las competencias complementarias, previamente mencionadas. 

Sin una revisión consciente de estos elementos planteados, el gobierno de la seguridad de la información seguirá funcionando en el mediano plazo con relativa calma y discreto apoyo directivo. Sin embargo, el entorno y sus cambios lo llevarán a escenarios inciertos donde la toma de decisiones estará enmarcada por mucha información, poco tiempo y la demanda de efectividad de las acciones que se apliquen.
 
Comprender la complejidad de la realidad actual, la necesidad de incrementar la capacidad para ver la variedad del entorno y desarrollar la habilidad para conocer y explorar sobre la información y los datos, deberán ser la prioridad de los nuevos ejecutivos de la seguridad de la información, cuya consigna estará orientada a anticipar escenarios emergentes y definir cursos de acción que limiten los impactos y aprovechen las oportunidades que la situación inesperada les brinda.
 
Pronosticar en seguridad de la información sobre diferenciadores tecnológicos, prácticas emergentes y vulnerabilidades concretas, es comprender cuerpos de conocimientos conocidos donde las estadísticas y análisis permiten establecer orientaciones claves que son medianamente verificables.
 
No obstante lo anterior, lanzarse a proponer cambios o transformaciones en el escenario estratégico y funcional, denota una apuesta conceptual propositiva que consolida una búsqueda de una realidad emergente y retadora, que inicia con los tres componentes planteados en este documento y que, sujetos a las inestabilidades y contradicciones de la realidad, dejan a nuestra maestra la inseguridad de la información como referente para seguir aprendiendo.
 

Referencias

  • FIDLER, D. y GORBIS, M. (2012) Las diez competencias que necesitarán sus empleados. IESE Insight. Primer trimestre. No.12.
  • ÁLVAREZ, E. y RAGHAVAN, S. (2010) Road map to relevance. How capabilities-driven information technology strategy can help differentiate your Company. Strategy+Business. Issue 61. Winter.
  • BONABEAU, E. (2007) Understanding and managing complexity risk. Sloan Management Review. Vol.48. No.4. Summer.
  • COSSIN, D. y METAYER, E. (2014) How strategic is your board? Sloan Management Review. Vol.56. No.1. Fall.
  • SECURITY FOR BUSINESS INNOVATION COUNCIL (2014) Transforming information security. Focusing on strategic technologies. RSA Security LLC, EMC Corporation.
  • HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y SMITH (2012) The nexus of forces: Social, mobile, cloud  and information. Gartner Research.
  • REYES, A. y ZARAMA, R (1998) The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. Vol.5. No.3. pp 19-33
  • CANO, J. (2014) La ventana de AREM. Una herramienta táctica y estratégica para visualizar la incertidumbre. Actas de la Reunión Española de Criptología y Seguridad de la Información. Alicante. Septiembre 1 al 5.
  • SANTOS, F. (2014) Cómo puede transformar su negocio la lógica social. IESE Insight. Tercer trimestre. No.22.