domingo, 22 de febrero de 2015

Anotaciones sobre las competencias de los responsables de la seguridad de la información. Un ejercicio de resiliencia personal y supervivencia corporativa

Introducción
Los reportes internacionales sobre fallas de seguridad de la información, el creciente incremento del fraude por medios electrónicos y la temeridad de los usuarios respecto del uso de internet, establece un escenario retador para cualquier gerente o responsable de la seguridad de la información de una empresa, como quiera que estará siempre inmerso en la tensión de los que quieren apertura total de acceso y los que persiguen restricciones generales sobre la información (Ponemon, 2014).

Si bien el reto que le impone un escenario incierto, complejo y asimétrico, con eventos inesperados en cualquier momento, no lo debe atemorizar, si lo debe poner en alerta para renovar su estrategia de seguridad y control, toda vez que las tecnologías de seguridad informática por sí solas no le van a proveer la confianza requerida por la alta gerencia, que hoy se ve amenazada por eventos que no logra comprender, pero que reconoce puede afectar su posición privilegiada y responsabilidad frente a sus grupos de interés (Rai, 2014).

Así las cosas, el responsable de la seguridad de la información debe incrementar su capacidad de entendimiento del entorno, persuadir a la alta gerencia con un discurso motivador, que lo exhorte a salir de su “analfabetismo” de los riesgos denominados por la literatura como “cibernéticos” y renovar su visión empresarial desde las prácticas de las personas, respecto del tratamiento de la información, habida cuenta que son las imágenes e imaginarios presentes en la cultura de la empresa las que definen las actitudes de los individuos frente a la información (Rai, 2014; Escámez, García, Pérez y Llopis, 2007)

En consecuencia, el responsable de la seguridad de la información se debe convertir en un observador fino de la realidad organizacional para indagar en las creencias, teoría expuesta y en uso, así como en los artefactos corporativos, para ir en profundidad de las reales causas y aprendizajes de la organización que hacen parte de la cultura organizacional de seguridad de la información.

Con el contexto anterior, el ejecutivo de seguridad de la información debe desarrollar un pensamiento sistémico y transdisciplinar que reconozca la complejidad inherente a las actividades de la empresa y el desarrollo de su tejido cultural respecto del tratamiento de la información, para crear un entorno y significados requeridos que le permitan a la información alcanzar el reconocimiento, por convicción, de activo estratégico, sin perjuicio que la alta gerencia haga esta declaración (Huerta, Zambrano, Pérez, y Matsui, 2014).

En este sentido, este documento plantea algunas competencias claves de los gerentes de seguridad de la información, como punto de partida para fundamentar la formación de estos ejecutivos empresariales, los cuales no tienen otra opción que sumergirse fuera de las aguas técnicas y de procedimiento, para adquirir nuevas capacidades que le permitan preparar a la organización para asumir el reto de la inevitabilidad de la falla, el costo de aprender de los incidentes y la resiliencia para continuar operando a pesar de que un evento inesperado se materialice, ahora desde la vista de las competencias específicas.

Notas básicas sobre las competencias
Tomando las reflexiones de Tobón (2013, cap.3) se tratará de deconstruir el concepto de competencias, para buscar algunas pistas sobre la forma como estas influyen en el desempeño de las personas en el ejercicio de una condición particular tanto a nivel personal como empresarial.

Las competencias nos hablan en sí mismas de los seres humanos, del talento innato que tienen y la potencialidad de sus acciones para transformar su entorno. En la medida que se comprende y entiende la complejidad de las acciones de los individuos, podemos descubrir sus conductas con el fin de atender la red de significados con las cuales está conectado para asumirse a sí mismo como ser único, singular e irrepetible, sintonizando con la pluralidad de su entorno y su relación con otros.

En este sentido, las competencias tienen cinco características claves, que Tobón (2013, p.99-103) establece como fundamento de las actuaciones de las personas: actuación integral, resolución de problemas, idoneidad, ética y mejoramiento continuo.

La actuación integral hace referencia, como anota Tobón (2013, p.99) al sentido de reto y la motivación para alcanzar un objetivo, basado en la confianza en las capacidades y apoyo social, con una comprensión del contexto, teniendo en perspectiva el problema a resolver para actuar de acuerdo con un conjunto de estrategias, procedimientos y técnicas. Esto supone superar la tradición cultural y disciplinar que no le permite ver en las “márgenes de las hojas” y aumentar su capacidad para entender la complejidad inherente a su realidad.

En la resolución de problema, Tobón (2013, p.101) establece cuatro acciones a realizar:
  • Comprender el problema en un contexto disciplinar, personal, ambiental, social y /o económico.
  • Establecer varias estrategias de solución, en las cuales se tenga en cuenta lo imprevisto y la incertidumbre.
  • Considerar las consecuencias del problema y los efectos de la solución dentro del conjunto del sistema.
  • Aprender del problema para asumir y resolver problemas similares en el futuro.
Enfrentarse a un situación problemática, supone entender con claridad el contexto y sus interacciones, las relaciones identificadas entre los participantes, así como aquellas emergentes que actúan sobre las personas y sus significados, las cuales revelan una interacción mutua, que define un comportamiento propio que es deber del observador identificar, conocer y analizar.

 La idoneidad, que sin caer en precisiones reduccionistas, establece un conjunto de relaciones entre calidad, empleo de recursos, oportunidad y contexto. Esta característica busca establecer qué tan competente es una persona para realizar una actividad. Nos habla de la calidad de sus actuaciones respecto de un referente, la forma como desarrolla sus acciones, el entendimiento de su realidad circundante y la manera como cumple y lleva a cabo sus compromisos.

La ética está íntimamente relacionada con las actuaciones de los individuos. Revisa y evalúa la coherencia de los comportamientos de un individuo frente a los referentes de la comunidad y sus fundamentos axiológicos básicos. La ética comporta en el individuo una visión profunda del saber ser y saber convivir, que desarrolla el carácter de la persona, para reconocer mínimos de convivencia y reconocimiento del otro, para actuar con una visión de máximos que supere sólo la vista comportamental y trascienda a la esfera espiritual.

Finalmente el mejoramiento continuo, que no es otra cosa que reconocer, aplicar e incorporar las lecciones aprendidas, entender desde nuevos enfoques las prácticas actuales y asegurar que se está desarrollando una práctica real y renovada del  hacer, que nos lleve a niveles más altos de ejecución de las actividades en los individuos.

La lectura de estas características en el perfil del ejecutivo de seguridad de la información, nos habla de una exigente apuesta personal y profesional, que no solo demanda un conocimiento disciplinar en su dominio, sino una exigencia transdisciplinar que cuestiona los referentes actuales de los gerentes de seguridad de la información, como quiera que su experiencia, capacidad técnica y vista ejecutiva, sólo se puede alcanzar en un ejercicio de pensamiento complejo (Huerta, Zambrano, Pérez, y Matsui, 2014; Bililies, 2015) que por lo general no es visible en la especificación de sus labores.

Competencias clave para los directores de seguridad de la información
Las competencias de los ejecutivos de seguridad de la información no son ajenas a las cinco características de las competencias planteadas en la sección anterior. Ellas demandan una revisión integral de la persona en sí misma y la especificidad de las funciones a realizar en una organización. En este entendido, no se pretende fundar una teoría alrededor de las competencias de los responsables de la seguridad de la información, sino un cuerpo base de relaciones de interdependientes que correlacione cada una de las competencias planteadas para visualizar los retos propios del ejercicio de atender la complejidad propia de la inevitabilidad de la falla.

Las competencias planteadas para el oficial de seguridad de la información, siguiendo la revisión previamente realizada, son:
  • Desarrolla pensamiento crítico para analizar y seleccionar los modelos y prácticas de seguridad de la información, más adecuados, considerando los objetivos estratégicos del negocio y las expectativas de la alta gerencia.  
  • Establece y prioriza las amenazas y riesgos de seguridad de la información para diagnosticar, evaluar y comunicar el nivel de exposición de la empresa, a través de métodos tradicionales y modernos considerando la dinámica del entorno actual.
  • Monitoriza la promesa de valor del modelo y prácticas de seguridad de la información para tomar las decisiones oportunas y pertinentes requeridas, considerando las desviaciones o lecciones aprendidas tanto de los incidentes de seguridad como de los cambios del entorno.
  • Negocia y establece con los ejecutivos corporativos las estrategias de rendición de cuentas del programa de seguridad de la información para identificar y seleccionar los escenarios y las métricas más adecuadas considerando las prácticas y estándares relevantes en la gestión de seguridad de la información.
  • Desarrolla una visión estratégica y táctica de la seguridad de la información en el contexto empresarial, para anticipar y renovar los modelos y prácticas de seguridad y control considerando los retos corporativos de mediano y largo plazo, así como los impactos de las amenazas y riesgos emergentes identificados.

Estas cinco competencias claves son específicas y propias de la realidad de un ejecutivo de la seguridad de la información, las cuales leen la complejidad del entorno que debe comprender y superar, con el fin de anticiparse y crear la capacidad de resiliencia requerida por la empresa para continuar navegando y alcanzando sus retos, a pesar de los eventos inciertos que debe sortear el modelo de generación de valor de la empresa.

Una competencia específica, establece Tobón (2013, p.119) son propias de una determinada ocupación, que generalmente tiene asociado un alto grado de especialización, así como una formación educativa particular, orientada para desarrollar el trabajo así como en educación superior. Lo anterior supone que los ejecutivos de seguridad de la información, deben alcanzar altos niveles de maestría en el exigente ejercicio de desdoblar la complejidad de la inseguridad de la información (Reid, Van Niekerk y Renaud, 2014), para lo cual deben estar todo el tiempo expuestos a condiciones inciertas, eventos no planeados y ocasiones de falla, que le exijan una mente abierta a las posibilidades y al mismo tiempo concreta y convergente que focalice estrategias de acción que den capacidad de movimiento aún se materialicen  sucesos inesperados.

Formando los nuevos ejecutivos de la seguridad de la información
Las competencias anteriormente especificadas plantean un referente base de la formación requerida por los responsables de la seguridad de la información. No busca ser una receta o una elaboración terminada, sino una excusa académica y educativa para ver aquellos elementos necesarios que se deben formar en los actuales y futuros ejecutivos de la seguridad de la información.

Articular una propuesta de currículo que permita el desarrollo de las competencias propuestas en este documento, si bien está fuera del alcance de esta reflexión, si es pertinente mencionar algunos temas claves que se deben considerar al plantear los contenido curriculares, como quiera que la acreditación de las competencias de los directores de seguridad de la información, no estará en el fundamento mismo del saber hacer, sino en el marco de procesos integrales y sistémicos, donde se tiene la visión de la parte y del todo, y donde se reconozca al individuo como integrante de la corporación (Tobón, 2013).

En este entendido, temáticas como planeación por escenarios, resiliencia organizacional, pensamiento de sistemas, competencia digital y tratamiento de la información, análisis de casos, analítica de datos, pensamiento crítico y analítico, así como ética y cumplimiento deberán ser parte de las características de los cursos que se planteen para este ejecutivo, sin perjuicio de la actualización natural requerida en tendencias tecnológicas de seguridad informática, así como la lectura permanente de los riesgos conocidos, latentes, focales y emergentes (Cano, 2014).

Como se puede observar, las características básicas de las competencias como los temas revisados anteriormente coinciden y refuerzan las conductas y actitudes de los ejecutivos de la seguridad de la información, habida cuenta que si bien estará siempre expuesto a un ambiente motivado por el conflicto, en medio de intereses cruzados, deberán deconstruir dicha realidad para resignificar esa disposición desfavorable de la seguridad de la información hacia una favorable requerida hacia la información y su protección, situada en un contexto real y concreto de la organización (Escámez, García, Pérez y Llopis, 2007).

Así las cosas, la formación de los ejecutivos de seguridad de la información debe equiparlos para transformar las creencias que sostienen las actitudes de las personas respecto de la información, para crear creencias conductuales (los atributos que asigna el individuo a un objeto, en función de los resultados previstos para él) y normativas (lo que los demás esperan que el individuo haga) (Escámez, García, Pérez y Llopis, 2007) que penetren la realidad de las personas y manifiesten resultados favorables de sus conductas, motivando una permanencia de dichas acciones, que no sólo lo benefician, sino que manifiestan impactos positivos en otros.

Si se pudiese hablar de un perfil de egreso de una persona formada para asumir el reto de ser el responsable de la seguridad de la información de una empresa, deberíamos advertir que sus habilidades y competencias estarán a prueba todo el tiempo para controvertir las lecciones de la inseguridad de la información, comprender el efecto recursivo y estructural que resulta en el ejercicio para descubrir la inseguridad (Reid, Van Niekerk y Renaud, 2014), o mejor de leer el tejido social empresarial que resulta de la mixtura de intereses, significados y retos corporativos, cuyas huellas (Andreu, 2014) se encuentran inmersas en cada una de las personas que hacen parte de la organización.

Reflexiones finales
Anota Morgan (1998, p.331) que las imágenes y metáforas no son solamente circunstancias interpretativas o formas de ver, sino que proporcionan marcos de trabajo para acción, esto es que en la medida que la capacidad de lectura de la realidad por parte del ejecutivo de seguridad de la información aumente y tenga una variedad lo suficientemente amplia, podrá comenzar a imaginar y observar el fenómeno de la inseguridad de la información más allá del sentido mecánico y operacional que le ofrece la realidad tecnológica y técnica de la infraestructura de seguridad informática.

Lo anterior supone desarrollar al menos las cinco competencias claves enunciadas, para que pueda hacer una lectura diferente del entorno cada vez y así interpretar las tensiones emergentes del ejercicio de la práctica de seguridad de la información, que exige un cambio sostenido de las actitudes de las personas respecto de la protección de la información y crear el entorno que asegure y asista, que los nuevos comportamientos incorporados tengan la trascendencia requerida en las diferentes audiencias y así permanezca a lo largo del tiempo.

En consecuencia, la formación del ejecutivo de la seguridad de la información, a parte de las características naturales que debe tener como son (IBM, 2013) desarrollador de relaciones efectivas, constructor de confianza, ser reconocido como autoridad temática en la empresa así como comunicador excelente, requiere incorporar una base de pensamiento complejo que le permita sentar los pilares para repensar su práctica, y así forjar conceptos y métodos inexistentes y que no se asocian con una perspectiva o disciplina particular.

Si bien las competencias son, de acuerdo con Bacarat y Graziano (Bustamante et al, 2004, p.69), un conjunto de propiedades inestables que deben someterse a prueba, las propias de los encargados de la seguridad de la información requieren mantenerse en tensión permanente para procurar una mente flexible y estratégica de estos encargados, habida cuenta de que su práctica no está fundada en certezas o claridades, sino en incertidumbre, imprevistos e incidentes que deben fortalecer su capacidad de proyección, análisis y reflexión sobre el entorno y sus impactos para la organización.

En consecuencia, sobrevivir como líder de seguridad de la información en la actualidad, implica aceptar con humildad la materialización de una falla y los señalamientos que esto trae, para que fortaleciendo su resiliencia personal, aumente su variedad para observar, revelar y comprender la inestabilidad de su entorno. Esto es, entender las fuerzas que lo atraviesan, advirtiendo la realidad como una red de relaciones que se reconstruye así misma y que evoluciona según cambian los significados y lecturas de la práctica de seguridad de la información desde las creencias personales y las realidades corporativas.  

Referencias            
Andreu, R. (2014) Huellas. Construyendo valor desde la empresa. Barcelona, España: Ed. Dau.
Bililies, T. (2015) How to be a great leader in a complex world. Recuperado de: https://agenda.weforum.org/2015/01/great-leader-in-complex-world/
Bustamante, G., De Zubiría, S., Bacarat, M., Graziano, N., Marín, L., Gómez, J. y Serrano, E. (2004) El concepto de competencia II. Una mirada interdisciplinar. Bogotá, Colombia: Alejandría Libros.
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes. Teoría y práctica. Colección Educación en Valores. Madrid, España: Octaedro OEI.
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
IBM (2013) Characteristics of highly effective security leaders. Recuperado de: http://www.ibm.com/ibmcai/ciso
Morgan, G. (1998) Imágenes de la organización. Santafe de Bogota, Colombia: Alfaomega.
Ponemon (2014) Informe mundial 2014 sobre el costo del crimen cibernético. Patrocinado por HP Enterprise Security. Recuperado de: http://www8.hp.com/co/es/software-solutions/ponemon-cyber-security-report/
Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20Security%20Research%20Report.pdf
Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A General living systems theory perspective. Information Security for South Africa (ISSA) 13-14 August. 1-8.

Tobón, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo, didáctica y evaluación. Cuarta edición. Bogotá, Colombia: Ecoe Ediciones.

martes, 3 de febrero de 2015

Ciber seguros. El reto de transferir la inevitabilidad de la falla en un mundo digital y globalizado.

Introducción
Al insertarse las organizaciones cada vez más en el contexto internacional y apalancar sus operaciones con tecnologías de información, su visibilidad se hace cada vez más evidente, aumentando su exposición a las tendencias y amenazas de alcance global. Como quiera que la información se configura como uno de los activos más valiosos de una realidad interconectada y dinámica, se hace necesario comprender las exigencias y responsabilidades que las empresas adquieren cuando adelantan sus operaciones en este escenario, donde no solamente esté en juego su modelo de generación de valor, sino su reputación y sus relaciones con sus grupos de interés.

En esta realidad, las organizaciones como parte de su debida diligencia adelantan su ejercicio de gestión de riesgos, el cual asumen con la seriedad requerida, toda vez que el mismo establece el marco general de las actividades y decisiones que éstas deben tomar para avanzar en medio de las inestabilidades propias de su sector de negocio y las turbulentas aguas de las implicaciones internacionales, que claramente afectan las perspectivas y proyecciones de las junta directivas.

Conforme se avanza en este nuevo milenio, se reciben cada vez más informes y noticias sobre las brechas de seguridad de la información y acciones no autorizadas sobre las infraestructuras de tecnología de información de las corporaciones, advirtiendo una tendencia que confirma el mayor interés de personas o grupos emergentes para llamar la atención sobre aspectos particulares de la realidad de un país o una región. Para ello, utilizan métodos poco convencionales que tensionan y doblegan las instalaciones tecnológicas de las empresas, dejando al descubierto la necesidad de una mayor atención en el aseguramiento y control de sus operaciones.

En este entendido, se hace visible las acciones y estrategias de las empresas para hacer más resistente sus actividades digitalizadas, a las acciones de terceros no autorizados que buscan, no solamente generar incertidumbre, miedo y dudas a los ejecutivos de los negocios, sino tratar de tener control de información clave, que bien puede ser usada para fines comerciales, extorsivos, de inteligencia o acciones militares. Así las cosas, las corporaciones del siglo XXI se convierten en blancos estratégicos de intereses nacionales y regionales, con lo cual se inaugura una nueva etapa de la gestión de riesgos estratégicos de las compañías, en donde la composición de una vista global, digital y política delinea la realidad de los denominados ciber riesgos.

Esta denominación “ciber” implica comprender que las organizaciones no sólo representan los intereses de la empresa en una comunidad de negocios, sino que están incorporadas en la dinámica de la globalización, con lo cual no solo manifiestan intereses de negocio, sino posiciones de país que influyen y definen parte del escenario geopolítico de las naciones. Adicionalmente adquieren una fluidez de movimiento gracias a la alta interconectividad y uso intensivo de tecnologías de información y comunicaciones que permiten transacciones y relaciones basadas en una economía digital, que atiende comunidades emergentes en cualquier parte del globo.

Por tanto, en este documento se adelantará una revisión del concepto de ciber seguro como una forma de transferir esta denominación “ciber” del riesgo, para lo cual se estudiará el concepto base de los seguros, las condiciones de su operación, concentrándose en coberturas, exclusiones y primas, para luego advertir las posibles nuevas responsabilidades de las empresas derivadas de su accionar en contextos internacionales. Así mismo, presentar los ciber seguros como una opción de cobertura frente a situaciones inadvertidas resultado del actuar de las empresas en un entorno altamente interconectado, global, digitalizado y politizado, que no está diseñado para indemnizar su negligencia en el cumplimiento del deber de protección de la información y de sus infraestructuras tecnológicas.

Conceptos básicos de la teoría de seguros
Los seguros se comportan de manera general como estrategias de indemnización frente a situaciones concretas que afectan intereses de terceros. En este sentido, se establece un contrato, o acuerdo de voluntades entre las partes: asegurador y asegurado, donde se revisan aspectos como el riesgo asegurable, el interés asegurable, la obligación condicional del asegurador y la prima, para fundar el marco de acción y aseguramiento requerido, basado en el principio de buena fe que prima en esta relación.

De acuerdo con Ordóñez (2002, p.10) el riesgo asegurable es “un evento fortuito, el evento que por súbito e imprevisto no tiene, ni en su génesis ni en su desarrollo, relación alguna con el acto humano consciente, sea voluntaria o no su consecuencia”. Como se puede observar, lo que se asegura es una condición de excepción, que no obedece a acciones deliberadas por parte de individuos y que busca proteger al tomador frente a las consecuencias que se derivan de dichos eventos.

Es importante anotar, que existen riesgos no asegurables, asociados con el dolo (es un hecho voluntario, conducta intencionalmente dañosa), hechos ciertos (hechos que con certeza van a ocurrir), imposibles (hechos que con certeza de ninguna forma van a ocurrir), pasados (que ocurrieron y estaba fuera del alcance establecido inicialmente), de disposición única del tomador y de sanciones penales policivas de carácter económico, los cuales no producen efecto alguno sobre las coberturas o pagos que se realicen, como quiera que se advierte la inexistencia del amparo al no configurarse un elemento esencial del contrato.

El interés asegurable, lo entenderemos desde los seguros de daños, como una relación de carácter económico que vincula a su titular con un objeto. Si bien, el interés asegurable es el objeto del contrato de seguros, podemos advertir, como anota Ordoñez (2002, p.32 y 33,) que “sobre un mismo objeto pueden converger varios intereses asegurables, en cabeza de la misma persona o en cabeza de personas diferentes, (…) con la salvedad que la indemnización, en caso de producirse el hecho que la origina, no podrá exceder el valor total de la cosa en el momento del siniestro”.

La obligación condicional del asegurador, se hace realidad cuando el siniestro se hace efectivo, es decir cuando la condición requerida se cumple, momento en el cual el beneficiario puede proceder a ejercer su derecho de que el asegurador pague lo contratado. La condicionalidad establece dos elementos claves: exigibilidad y mora. La exigibilidad nos dice cuando la obligación deja de estar pendiente (instante en que ocurre el siniestro) y de ello depende los términos de prescripción de las indemnizaciones pactadas. Así mismo la mora, que supone la preexistencia de un reclamo formal, con cumplimiento de las cargas probatorias básicas, la existencia del siniestro y su cuantía, nos indica que si al mes del reclamo no se ha dado respuesta por parte del asegurador, este entra en mora con sus efectos, los intereses o la indemnización de perjuicios. (Ordoñez, 2002, p.48-51)

Finalmente la prima, como elemento esencial del contrato de seguros, es el elemento oneroso que correlaciona el traslado del riesgo al asegurador. Es técnicamente el resultado de una tarifa, expresada en términos porcentuales, sobre el valor asegurado. La prima involucra cuatro factores fundamentales: a) el costo efectivo del traslado del riesgo (prima de riesgo – análisis estadístico de la probabilidad de su realización), b) el costo de administración (incluye el costo de reaseguro), c) el costo de intermediación (pago de comisión a intermediarios) y d) la utilidad esperada. (Ordoñez, 2002, p.42)

Con estos elementos fundamentales de los seguros, se tiene la base para revisar las nuevas condiciones de responsabilidad de las empresas en un entorno con información instantánea, en ambientes móviles, articulado en modelos de servicios soportados por terceros y sus infraestructuras y con uso intensivo de información y datos para desarrollar nuevos productos y servicios de alcance local y global.

Responsabilidades emergentes de las empresas en el siglo XXI
Al competir las empresas en escenarios altamente digitalizados y con mayor intervención de terceros en sus operaciones, la información clave de la empresa depende de su adecuado tratamiento por parte de los diferentes actores que tienen acceso a ella. Esto supone una serie de prácticas de seguridad y control que deben ser validadas y aseguradas por cada una de las partes en la aplicación del ciclo de vida de la información.

Si lo anterior es correcto, el riesgo de pérdida y/o fuga de información se convierte en una ruta crítica de las organizaciones, habida cuenta que la materialización de este riesgo la expone a una posible pérdida de reputación, de clientes, de ventaja competitiva y de mercados, así como a multas y acciones de reparación y sanciones regulatorias, que implican costos e indemnizaciones que, sin una adecuada preparación y prevención, pueden comprometer la viabilidad de la empresa en el mediano y largo plazo. (Ernst & Young, 2011)

La información al convertirse en el nuevo recurso natural del siglo XXI y estar inmersa en un mundo en permanente movimiento, generalmente compartida entre diferentes actores, comporta una serie de riesgos que deben ser identificados y tratados, para efectos de motivar acciones preventivas, que anticipen los posibles impactos negativos de su inadecuado tratamiento. Esto implica mostrar una debida diligencia y asegurar un estándar mínimo que considere prácticas que revelen el deber de cuidado de las personas, la previsibilidad ante situaciones adversas en el tratamiento de la información, un estándar de debido cuidado en seguridad de la información y un conjunto de precauciones razonables que manifiesten una actitud proactiva frente a daños que pudiesen presentarse. (Triump, 2012)

Las causas de las brechas de seguridad de la información pueden ser múltiples e inesperadas, sin embargo detallamos a continuación algunas de las más comunes que se identifican en la operación normal de las empresas: (Adaptado de: Ernst & Young, 2011, p.6)
 
  • Pérdida o robo de computadores portátiles o equipos móviles.
  • Transferencia no autorizada de datos a dispositivos USB.
  • Inapropiada categorización o clasificación de información sensible.
  • Robo de datos por empleados o terceras partes.
  • Impresión y copiado de datos sensibles por empleados.
  • Insuficiente respuesta a intrusiones o brechas de seguridad.
  • Transmisión no intencional de datos sensibles.
  • Uso de contraseñas débiles y/o conocidas.
  • Conversaciones en espacios públicos relativas a datos sensibles.
  • Monitoreo no autorizado de comunicaciones.

En razón con lo anterior, se advierte una nueva serie de responsabilidades empresariales respecto del tratamiento de la información asociada con procesos e interacciones informáticas que se adelantan a través de servicios informáticos (bien operados por la empresa o con terceros) para movilizar el modelo de generación de valor de la empresa. Esto supone comprender que en la carrera de la eficiencia del manejo de costos operacionales de las empresas, la tecnología de información y comunicaciones jugará un papel fundamental, como quiera que al aumentar su nivel de automatización se harán más ágil y eficientes, sin perjuicio que esta dependencia abrirá el espacio para vulnerabilidades y fallas de seguridad y control antes no identificadas.

En el ejercicio de gestión de riesgos, existen diferentes aproximaciones para su tratamiento: aceptar, mitigar y transferir. Sobre este particular las organizaciones adelantan las actividades pertinentes sobre la tecnología de información y comunicaciones pues entienden la susceptibilidad de esta temática respecto de la protección de sus intereses en un contexto interconectado. En consecuencia, definen planes de tratamiento que incluyen aspectos humanos, de procedimiento y tecnológicos que procuran cerrar las posibles brechas identificadas y disminuir el nivel de exposición analizado.

No obstante lo anterior, los incidentes de seguridad de la información se van a materializar con impactos, algunos identificados y otros emergentes, que pueden escapar a los análisis de riesgos realizados y cuyas consecuencias alcanzan implicaciones onerosas e indemnizatorias que comprometan las mejores previsiones de la compañías en sus estrategias de mitigación o transferencia de dichos riesgos. Por tanto, la vida digital de las empresas actuales, inmersas en la geopolítica de un mundo global, exige revisar las propuestas de transferencia de riesgos para construir una vista más ajustada a esta realidad y superar las condiciones tradicionales de los seguros en esta área asociados con: errores u omisiones en la provisión de servicios tecnológicos, violación de derechos de propiedad intelectual, pérdidas por robo a través de sistemas electrónicos transaccionales, crimen por computador, entre otras. (García, 2009)

Entendiendo los ciber seguros
A la fecha las pólizas de seguros, definidas como documento contentivo del contrato de seguro, de fines exclusivamente probatorios (Ramírez, s.f), tienen múltiples clasificaciones y denominaciones para efectos de establecer concretamente su alcance y limitaciones. Particularmente para el caso de los ciber seguros, hablaremos de pólizas por identificación de riesgos, los cuales están catalogados como “todo riesgo” y de “riesgo nombrado”. Mientras las primeras están dirigidas a cubrir el interés asegurable de cualquier riesgo, excepto los excluidos contractualmente o los que legalmente son asegurables mediante convención expresa (acordados con el asegurador); las segundas están dirigidas a cubrir el interés asegurable del riesgo definido. (Ramírez, s.f)

Este esquema tradicional, anota Ordoñez (2001, p.90 y 91), se enfrenta desde el punto de vista del asegurado, a las dificultades tradicionales de comprensión de la identificación contractual del riesgo asociada con una definición básica del mismo y en una o varias cláusulas de exclusiones, definidas como circunstancias dentro de las cuales el riesgo, tal como está definido, así ocurra, no está cubierto por opción del asegurador. En este contexto, el ciber seguro, se enfrenta a una encrucijada entre el asegurador, las coberturas propuestas y exclusiones definidas, frente a las necesidades, exigencias y requerimientos del asegurado, como quiera que la complejidad propia del ciber riesgo, implica una comprensión de variables humanas, de procedimiento, tecnológicas y legales cuya interacción ofrece un panorama de consecuencias que depende de cada caso en particular.

No obstante lo anterior, la cobertura del ciber seguro contiene aspectos semejantes a las pólizas todo riesgo como son: (Drouin, 2004)
 
  • Responsabilidad general de crimen a través de internet.
  • Propiedad (No se reconoce los datos como propiedad)
  • Errores y omisiones.
  • Responsabilidad profesional.
  • Responsabilidad de directores y funcionarios.
  • Responsabilidad de prácticas de empleo (Acciones de los empleados)
  • Interrupción del negocio.
  • Extorsión y secuestro.
  • Responsabilidad de grupos de personal (empleados clave)
  • Cobertura de vida de personas clave.
  • Cobertura de responsabilidad de medios.
  • Responsabilidad de fidelidad  o crimen.
  • Cobertura de seguridad en redes.
  • Propiedad intelectual.
  • Cobertura de patente.
  • Cobertura de violencia laboral.

Particularmente, siguiendo el análisis realizado por García (2009, p.70) las coberturas establecidas por los principales corredores de ciber seguros están asociadas con propiedad y robo, así como con responsabilidad. Una vista resumida se detalla a continuación.

Tabla 1. Coberturas que ofrecen los corredores de ciber seguros más grandes (Tomado de: García, 2009, p.70)

Coberturas
Propiedad y robo
Destrucción de información o software
Recuperación de virus u otros códigos maliciosos
Interrupción de negocios
Negación del servicio
Robo de información
Extorsión cibernética
Pérdidas debidas a actos terroristas
Responsabilidad
Seguridad en redes
Daño a medios electrónicos de contenido
Brecha privada de confidencialidad

Estudios recientes de los ciber seguros reflejan una evolución sustancial de las coberturas analizadas, la cual manifiesta una mayor comprensión de la complejidad que exhibe los riesgos “ciber”. En particular el estudio adelantado por la firma Guy Carpenter (2014) entiende que los ciber ataques se advierten como uno de los más serios retos económicos y de seguridad nacional que enfrentan los gobiernos y organizaciones a nivel global. En este entendido, detalla una serie de riesgos asociados con esta condición dentro de los cuales están:
  • Responsabilidad legal
  • Brechas de seguridad informática
  • Brechas de privacidad
  • Ciber robos
  • Ciber espionaje
  • Ciber extorsión
  • Ciber terrorismo
  • Pérdida de utilidades
  • Recuperación de costos
  • Daño reputacional
  • Continuidad de negocio/interrupciones de la cadena de suministro
  • Ciber amenazas a la infraestructura crítica de la nación.

Basado en lo anterior, el estudio en mención dimensiona algunas coberturas particulares que incluyen aspectos como: 
  • Privacidad de datos
  • Brechas en regulaciones, multas y sanciones
  • Interrupción de redes del negocio
  • Daño de datos y ciber extorsión
  • Gestión de crisis y respuesta a robo de identidad (incluye costos de investigaciones forenses)

De otra parte, investigaciones especializadas en estos temas indican que el mercado asegurador presenta una asimetría de información entre el asegurado y el asegurador, concentrándose particularmente en las potenciales pérdidas primarias (pérdida directa de información o datos y suspensión de las operaciones) y poco en las secundarias (pérdidas indirectas, disminución de la reputación, del buen nombre, de la confianza del consumidor, de la fortaleza estratégica y pérdida de clientes). En este sentido, cuando se presentan los siniestros, los procesos de reclamación serán estimados por las valoraciones económicas representadas en las condiciones propias de la operación de la empresa (pérdidas primarias), dejando a valoraciones subjetivas basadas en experiencias y comparaciones con procesos equivalentes, las pérdidas secundarias, creando un desbalance de protección que algunas veces favorece al asegurador y otras al asegurado. (Ordoñez, 2004; Bandyopadhyay,  Mookerjee y Rao, 2009)  

En razón con lo anterior, podríamos concluir que los ciber seguros surgen como la evolución natural del entorno informático donde se desempeñan las empresas, inmerso en un escenario global, digital y politizado, donde las coberturas dispuestas inicialmente y previamente acordadas, deben incluso amparar gastos adicionales para evitar la extensión y propagación de un siniestro, así como soportar el pago para la reparación, reposición o reconstrucción de los bienes afectados por la materialización del ciber riesgo.

Sin perjuicio de lo anterior, la negociación implícita a este tipo de pólizas está asociada con las exclusiones. Las exclusiones son las circunstancias o hechos que se exceptúan de la cobertura asegurada, y que se encuentran taxativamente enunciados en la póliza del seguro. Dichas excepciones generalmente están asociadas con los riesgos no asegurables previamente presentados, incluyendo obsolescencia del bien asegurado, negligencia inexcusable por falta o ejecución defectuosa de los mantenimientos necesarios para la adecuada operación del interés asegurado, daños sufridos durante la realización de obras de reparación o remodelación o reconstrucción total del bien asegurado, daños propios y los causados a terceros a consecuencia de una actividad comercial, industrial o profesional distinta a la declarada en la póliza, entre otros. (Generali Seguros, s.f)

Como podemos observar las exclusiones responden a la exigencia de la gestión y aseguramiento de interés asegurado, que en el caso del ciber riesgo, implica una vista sistémica de dicho riesgo en el contexto de la organización. Esto es, comprender las relaciones de la organización desde su posición de negocio, sus relaciones con las comunidades y grupos de interés, así como el gobierno y gestión de la tecnología de información, con el fin de entender las interrelaciones que surgen en este ejercicio.

De igual forma, la seguridad de la información juega un papel fundamental como quiera que el asegurador demanda un entendimiento de la información como activo estratégico que sirve como articulador de las relaciones internas y externas que tiene la empresa, así como la responsabilidad compartida de su gestión y control con los terceros involucrados, que adquieren la categoría de co-responsables en este escenario y que igualmente deben comprometerse con unas prácticas que cierren filas frente al ciber riesgo declarado por la empresa contratante.

Reflexiones finales
Las juntas directivas de las organizaciones deben incluir en su revisión de riesgos estratégicos de las empresas las consideraciones propias de los ciber riesgos. Ignorar esta lectura de la dinámica empresarial actual, cuyas consecuencias son evidentes en múltiples casos internacionales como los de Target, JP Morgan, Sony, Office Depot, entre otras, es anticipar escenarios de crisis que generalmente son desconocidos y cuyos tratamientos requieren acciones especializadas y coordinadas para mitigar los efectos nocivos que estos pueden tener.

En este ejercicio, los miembros de junta deben no solamente “alfabetizarse” en estas nuevas realidades (Rai, 2014), generalmente manifiestas en grandes fallas y brechas de seguridad, sino comprender los niveles de preparación que tiene la organización frente a situaciones semejantes para establecer los mecanismos preventivos requeridos y las protección extendidas que cubran aspectos que pueden ser relevantes y que las acciones actuales cubren de manera parcial.

Amén de lo anterior, los ciber seguros aparecen como una opción a revisar toda vez que estos insisten en unas prácticas de seguridad y control que deben tener las empresas, para limitar los efectos de ataques masivos y coordinados, algunos con fines extorsivos o de ciberespionaje, que pueden comprometer activos de información estratégicos de la empresa, la identidad de sus personas o las estrategias de negocio, que afecten incluso las  operaciones de la infraestructura crítica de una nación. En esta línea, los ciber seguros hacen una lectura crítica de los activos intangibles de la compañía en el escenario de una operación digitalizada y profundamente integrada a su dinámica y visibilidad global.

Los ciber seguros nos introducen en la comprensión de las relaciones propias del ecosistema digital donde maniobran las empresas, con el fin de comprender cuáles son los umbrales de pérdida de valor permitido, promoviendo una reflexión por el complemento que define cuál es la pérdida máxima estimada por una organización, dado un perfil de resiliencia definido, lo que supone una serie de actividades propias de la compañía para hacerse resistente a los ataques o eventos inciertos que se presenten.

Mientras mayor sea el conocimiento de la cultura organizacional de seguridad de la información, las capacidades de recuperación y continuidad disponibles, el conocimiento de las vulnerabilidades emergentes propias de su negocio y la caracterización de los posibles atacantes, mejor será la preparación y respuesta de la empresa para enfrentar el ciber riesgo, sin perjuicio que la inseguridad de la información, supere las mejores estimaciones efectuadas con lecciones que aún se deben aprender.

Así las cosas, el mundo de los ciber seguros seguirá evolucionando conforme los retos y exigencias de los mercados lo hagan, así como resultado de la introducción de tecnologías emergentes que generen propuestas disruptivas y no tradicionales. Por tanto, debemos mantener la pista a los impactos de la inevitabilidad de la falla, como insumos requeridos para comprender las coberturas y exclusiones que se planteen alrededor de los contratos de estos seguros, los cuales comienzan a acompañar a las organizaciones como entes vigilantes de la gestión de la tecnología de información y las comunicaciones y el tratamiento de la información en las empresas.

Referencias
Ordoñez, A. (2002) Elementos esenciales, partes y carácter indemnizatorio del contrato. Lecciones de derecho de seguros No.2. Bogotá, Colombia: Ed. Universidad Externado de Colombia.
Ordoñez, A. (2001) Cuestiones generales y caracteres del contrato. Lecciones de derecho de seguros No.1. Bogotá, Colombia: Ed. Universidad Externado de Colombia.
Ordoñez, A. (2004) Las obligaciones y cargas de las partes en el contrato de seguro y la inoperancia del contrato de seguro. Lecciones de derecho de seguros No.3. Bogotá, Colombia: Ed. Universidad Externado de Colombia.
García, K. (2009) Propuesta de póliza de seguro para el ciber-riesgo en Guatemala (Tesis de pregrado). Universidad de San Carlos de Guatemala. Recuperado de: http://biblioteca.usac.edu.gt/tesis/08/08_0420_CS.pdf
Ernst & Young (2011) Data loss prevention. Keep your sensitive data out of the public domain. Insights on governance, risk and compliance. Recuperado de: http://www.ey.com/Publication/vwLUAssets/EY_Data_Loss_Prevention/$FILE/EY_Data_Loss_Prevention.pdf
Ramírez, E. (s.f) Notas de clase. Especialización en Seguros. Universidad Externado de Colombia.
Drouin, D. (2004) Cyber risk insurance. A discourse and preparatory guide. GIAC Security Essentials Certification. Recuperado de: http://www.sans.org/reading-room/whitepapers/legal/cyber-risk-insurance-1412
Guy Carpenter (2014) Ahead of the curve: understanding emerging risk. Recuperado de: http://www.guycarp.com/content/dam/guycarp/en/documents/dynamic-content/AheadoftheCurve-UnderstandingEmergingRisks.pdf
Generali Seguros (s.f) Generali negocio seguro. Condiciones generales y condiciones generales específicas. Recuperado de: http://62.97.131.36/rep_documentos/phogar/GENERALI-CCGG-COMERCIOS.pdf
Triump, I. (2012) Confronting the legal liabilities of IT Systems.  EDPACS: The EDP Audit, Control, and Security. 46(2). 11-16

Bandyopadhyay, T.,  Mookerjee, V. y Rao, R. (2009) Why IT managers don't go for cyber-insurance products. Communications of ACM. 52(11). November. 68-73
Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20Security%20Research%20Report.pdf