sábado, 2 de mayo de 2015

Entorno VICA. La incertidumbre y los bloqueos de un CISO

Introducción
Ante un mundo volátil, incierto, complejo y ambiguo (VICA) (Johansen, 2009), el CISO (Chief Information Security Officer) debe desarrollar la habilidad de mantenerse atento para identificar anomalías, contradicciones y rarezas, cosas que desafíen sus patrones familiares y difieran de lo que conoce o cree, sólo así podrá educar su percepción y exploración del entorno para advertir realidades emergentes y establecer nuevos paradigmas en contextos desconocidos o no imaginados.

En este ejercicio, el CISO pone a prueba su capacidad para ver diferentes realidades y desconocidos puntos de vista para retar su perspectiva actual y así abrir nuevas posibilidades de entendimiento de su entorno. De esta forma, el ejecutivo de seguridad de la información podrá ver pronto tendencias de manera anticipada que le permitirán confrontar sus modelos de gobierno y alimentar, bien enfoques probados previamente para lograr cosas nuevas, o darle forma a conceptos novedosos que recombinen información disponible, para advertir tendencias aceleradas, eventos extraordinarios y alertas tempranas (Charan 2015, p.51-54).

Si luego de esta reflexión, el CISO advierte una señal de un cambio significativo en su entorno, debe proceder a imaginar cómo puede tomar ventaja de esa nueva realidad, cómo puede capitalizarlo en la lectura de su modelo de gobierno y de operación, probando sus percepciones con otras personas, especialmente con aquellas que tiene puntos de vista contrarios; siguiendo eventos políticos relevantes alrededor del mundo (regulaciones y propuestas normativas) y mirando los posibles impactos para su gobierno, identificando modelos de negocio emergentes en otras industrias para entender sus implicaciones y anticipar sus estrategias en el contexto de la protección de la información, entre otras acciones (Charan 2015, cap.7).

Por tanto, el CISO no solamente deberá conocer la dinámica de los negocios en sí misma, sino las condiciones y perturbaciones claves que pueden comprometer la viabilidad de la organización en el mediano y largo plazo, como quiera que no hacerlo, lo margina de las conversaciones estratégicas de la empresa y lo separa de la agenda que maneja la junta directiva. No solamente cumplir con lo especificado en los estándares de protección de la información hace relevante la labor del CISO, sino su capacidad para leer el entorno de negocio y actuar en consecuencia.

En este sentido, este documento plantea algunas estrategias claves para que el ejecutivo de seguridad de la información haga una lectura de su entorno de manera cuidadosa, con el fin de proteger el valor de los activos de información estratégicos para la empresa y advertir los posibles bloqueos que se pueden presentar cuando la incertidumbre, el miedo y las dudas lo asalten en las decisiones que debe tomar en medio de la penumbra de los hechos y las tendencias que se le presenten.

Enfrentado la incertidumbre
En este contexto complejo y asimétrico, el CISO al contrario de otros ejecutivos de la empresa, no debe buscar evitar el riesgo, sino hacer evidente que el riesgo es parte inherente del negocio corporativo y por lo tanto debe ser gestionado y que en algún momento la inevitabilidad de la falla se hará presente, con los costos que esto implica y las lecciones aprendidas que se derivan de ello (Charan 2015, 110). Esto supone que el ejecutivo de seguridad de la información debe desarrollar mecanismos sistémicos y disciplinados para detectar y anticipar amenazas y riesgos para tomar acciones anticipadas primero que los otros como se observa en la figura 1.

Figura 1. Tratamiento de la incertidumbre en seguridad de la información

Así las cosas, el planteamiento de escenarios (Casey y Willis, 2008), basados en posibilidades y probabilidades de eventos que pueden darse en una industria particular y las implicaciones que se tienen para la protección de la información, es una de las herramientas que se pueden usar para advertir situaciones de manera anticipada. Esta práctica demanda una exigencia de consulta permanente de tendencias y novedades que le permita al ejecutivo de seguridad de la información configurar vistas emergentes para concretar estrategias de manera anticipada que den cuenta de dichos movimientos del entorno y establezcan una posición privilegiada de la organización, desde el punto de vista de protección de la información, que anticipe las nuevas propuestas de los negocios.

Otra forma de mantener la percepción aguda es el uso de la ventana de AREM (Cano, 2014), un instrumento que permite una vista sistémica de amenazas y riesgos emergentes, donde se funden en una sola vista las posibilidades y las probabilidades. Este instrumento, propone un reto de convergencia de análisis del entorno en cuatro dimensiones a saber: riesgos conocidos, riesgos latentes, riesgos focales y riesgos emergentes.

La ventana de AREM permite una lectura crítica y relevante para ejecutivo de seguridad de la información como quiera que es una forma de hacer una exploración de las tendencias del entorno, las cuales le advierten sobre elementos que pueden ser usados a la ofensiva contra las organizaciones y las posibles anomalías que se detectan en el ambiente, que son potencialmente fuente de acciones no autorizadas que pueden crear condiciones inesperadas y disruptivas para la operación de las empresas.

Una estrategia de inteligencia estratégica clave para advertir y detallar amenazas en el entorno son los indicadores de compromiso (Andress, 2015), los cuales permiten documentar una amenaza de manera consistente, proveen un conjunto de datos que pueden ser automatizados para consultas y tratamientos especializados, y provee respuesta a preguntas como el archivo analizado es malicioso, la IP analizada ha sido vista en el pasado, cómo fue posible la infección informática y finalmente si efectivamente hubo una brechas de seguridad confirmada.

Si bien los indicadores de compromiso no son una bola mágica que predice la aparición de amenazas en el entorno, si es una fuente potencial de análisis de comportamientos y posibles ataques, que permitan alimentar y enriquecer escenarios que permitan una vista más real y concreta de los atacantes y sus capacidades de acción.

Adicional a las tres propuestas anteriores y no menos importante, se sugiere considerar la creación de una cultura de curiosidad intelectual de aprendizaje y exploración (Charan 2015, p.76-77), que permita desarrollar un entorno confiable y psicológicamente seguro, donde el error no es ocasión de castigo o marginación, sino de oportunidad y audacia, para proponer sesiones donde las tendencias, ideas y propuestas encuentran un lugar para ser revisadas, debatidas y conectadas.

Encontrar puntos singulares de posibles retos para la empresa en su entorno de negocios, tecnologías en desarrollo y con grandes potenciales, y capacidades especiales desarrolladas por empresas emergentes, revelan contextos donde la información es un activo clave que debe ser adecuadamente tratado y protegido, como fuente de diferenciación estratégica para el futuro de la empresa.

Esta propuesta, establece contar con un conjunto de profesionales que de manera permanente están observando el entorno, explorando impactos, calibrando los lentes de las personas, formulando hipótesis y descubriendo alertas tempranas para motivar acciones que nutran el ejercicio de gobierno de la seguridad de la información, no como un programa que busca alcanzar certezas en sus propuestas e indicadores, sino caminos alternos basados en las observaciones y tendencias identificadas, que conecten con los objetivos estratégicos de la empresa a través de las turbulencias y asimetrías propias de su sector de negocio.

Bloqueos de un CISO
Pese a todo lo anterior, muchas veces el CISO puede tener poca tolerancia frente a la ambigüedad, limitando su capacidad de acción y aferrándose a sus certezas, que si bien en muchas ocasiones le han servido para dar respuesta a situaciones conocidas, no son las más adecuadas hoy para tratar con la condición incierta a la cual se enfrenta en este momento.

En este sentido, el responsable ejecutivo de la seguridad de la información enfrenta bloqueos en sus actuaciones, los cuales se han instalado en sus referentes conceptuales a lo largo de sus años de ejercicio profesional, estableciendo “verdades” que dolorosamente no le permiten moverse con las tendencias y novedades que se presentan en la práctica de protección de la información en entornos convergentes y con servicios distribuidos.

Considerando las reflexiones de Charan (2015, p.106) sobre bloqueos en la toma de decisiones de los altos ejecutivos de las empresas, podemos detallar a continuación algunas consideraciones sobre éstos, aplicados a los responsables de la seguridad de la información.

Los bloqueos de los CISO están asociados con algunas condiciones personales, capacidades de su equipo y tolerancia al error. En consecuencia los bloqueos más relevantes son:
·     Apego a sus competencias claves actuales
·     Inhabilidad para construir nuevas competencias
·     Temor al error
·     Evitar la confrontación
·     Obsolescencia de su personal clave

El apego a sus competencias claves actuales, se manifiesta generalmente por su adherencia, muchas veces obsesiva a los estándares y prácticas, fundadas en las normas ISO (Weise, 2015), que si bien son importantes y útiles referentes para mantener la operación virtuosa de la protección de los activos digitales, no son los conceptos requeridos para gobernar en medio de la incertidumbre. No es posible alcanzar un ejercicio de gobernabilidad valioso, sólo fundado en estándares, se hace necesario construir un marco de actuación alineado con el entorno agreste y multiforme donde operan los negocios empresariales.
                            
Si bien es cierto que debemos contar con competencias básicas de protección de la información y haber logrado importantes avances en la aplicación de los mismos, se hace necesario desarrollar nuevas competencias para explorar e indagar en medio de la niebla de los negocios y allí encontrar nuevas oportunidades, que creen incertidumbre a los otros que lleguen después. Esto generalmente incomoda al CISO, pues implica sacarlo de la zona cómoda e instalarlo como analista y explorador de escenarios ajustados a los retos de los negocios.

El entorno actual, divergente e incierto, no permite tener planos ni destinos completamente claros y muchas veces habrá que avanzar aún en medio de la niebla. Esta posibilidad aumenta la probabilidad de error, la cual deberá ser capitalizada por el CISO y su junta directiva, para construir cada vez sobre la sabiduría de la falla, y no generar la rutina destructiva de buscar culpables y desviar la atención sobre la sanción que merecen aquellos que actuaron.

Cuando el CISO establece un rumbo y acciones que puedan resultar en restricciones o limitaciones para los negocios, la confrontación de las diferencias será la regla natural que deberá aplicar en sus conversaciones. En la controversia existe la bondad de las miradas encontradas que debe servir para “ver” lo que no es evidente y conocer el punto de vista de aquellos que estudian la realidad con lentes diferentes a los del CISO. La diferencia es una ventaja estratégica, que inicialmente puede ser incómoda, pero bien canalizada es una fuente de aprendizaje para reconocer nuevas oportunidades.

El CISO consulta e indaga sobre múltiples aspectos de la realidad empresarial y convoca a las personas claves en los diferentes negocios, para establecer un referente de análisis que le permita hablar el lenguaje de la estrategia corporativa.

Cuando ese conocimiento experto se deteriora, es decir, no le genera expectativas claras sobre el negocio y lo mantiene en la zona cómoda, se compromete la capacidad de anticipación del ejecutivo de seguridad de la información. Se hace necesario adquirir nuevos insumos de experiencia empresarial para encontrar variaciones y asimetrías que le permitan ver las cosas con mayor precisión, pensar más creativamente y actuar con mayor determinación.

Reflexiones finales
El responsable de seguridad de la información sabe que no es posible eliminar completamente la incertidumbre, que la inevitabilidad de la falla de una u otra forma lo va alcanzar y por tanto, el tribunal de los incidentes será recurrente en su trayectoria como gerente de la protección de los activos de información. Por tanto,  conociendo que estará enfrentado a desconocer lo desconocido, es decir condiciones, riesgos y amenazas que ni siquiera sabe que existen, deberá hacer su mejor juicio para construir confianza en la construcción y desarrollo de su estrategia.

Establecer las tendencias, desarrollar escenarios, identificar amenazas y riesgos, son elementos claves que deben hacer parte del conjunto de herramientas conceptuales y práctica de un CISO para atravesar el valle de lo incierto y las presiones de los negocios para ganar agilidad en su posicionamiento en el mercado.

Las tecnologías de información y las comunicaciones con su vertiginoso desarrollo, establecen un marco de referencia divergente que ubica al CISO entre la necesidad de compartir y evolucionar en el desarrollo de sus prácticas de protección, con las exigencias concretas de regulaciones que demanda cumplimientos estrictos de controles regulatorios que no pueden ser violentados, so pena de sanciones y compromisos de imagen de las empresas.

En este sentido, no es solamente el balance que se requiere para dar cuenta de esta condición previamente comentada, sino la capacidad propia del ejecutivo de seguridad de la información para reinventar sus marcos conceptuales y prácticas para revertir la comodidad que producen los estándares, y crear propuestas que generen las condiciones de uso y control de la información acordes con la dinámica de los negocios; esto es motivar incertidumbre sobre lo que se conoce y aplica en seguridad de la información.

En razón con lo anterior, el CISO y sus decisiones deberán estar articuladas desde la incertidumbre, para construir el camino que lleve a la organización a alcanzar la velocidad de crucero que requiere para llegar primero a las nuevas posiciones privilegiadas de su entorno y crear la inestabilidad necesaria que aumente su condición exclusiva entre sus competidores.

Así las cosas, el CISO deberá identificar las acciones claves que debe tomar para conectar los puntos asimétricos que proponen las tendencias y amenazas, para crear una vista enriquecida que aclare el camino de la estrategia corporativa, protegiendo el valor de sus activos estratégicos de información, no desde las certezas y controles conocidos, sino desde las vulnerabilidades y la inevitabilidad de la falla.

Referencias
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Weise, J. (2015) Using a governance tool. ISSA Journal. 13, 5. 34-37.
Andress, J. (2015) Working with indicators of compromise. ISSA Journal. 13, 5. 14-20.
Casey, T. y Willis, B. (2008) Wargames: Serious play that test Enterprise security assumptions. Intel Corp. Recuperado de: http://www.sbs.ox.ac.uk/cybersecurity-capacity/system/files/Intel%20-%20Wargames-%20Serious%20Play%20that%20Tests%20Enterprise%20Security%20Assumptions.pdf

Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf

Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World, San Francisco, Berrett-Koehler Publishers.