domingo, 27 de septiembre de 2015

El CIO y el CISO. Tensiones emergentes en un ecosistema social y digital

Introducción
Durante estos días son muchas las noticias que manifiestan la inestabilidad constante de las medidas de seguridad y control que están disponibles en las organizaciones. Se habla de fallas reiteradas sobre tecnologías de nueva generación, de malas prácticas de protección de la información y sobre manera, las repetidas quejas de la alta gerencia sobre el nivel de aseguramiento disponible en la organización (TrendMicro, 2015).

Pareciera que la inevitabilidad de la falla se anticipara todo el tiempo a los mejores pronósticos de los analistas de seguridad de la información, que no hubiese margen de acción para enfrentar los retos de las vulnerabilidades y que el ejecutivo de seguridad estuviese condenado a ser el “reo” que se convoca cuando un incidente ocurre en la organización.

Esta situación, muchas veces contradictoria, establece una realidad contraria a los esfuerzos de la función de protección y aseguramiento que se desarrolla en una empresa, una dinámica que recaba en la esencia de los imaginarios de las personas, para comprender y transformar la forma como se proteger la información clave de una corporación. Si bien las medidas tecnológicas disponibles permiten cerrar los espacios de actuación no deseados a los clientes, estos igualmente reclaman momentos de flexibilidad para consensuar sus necesidades con las naturales y requeridas medidas de protección.

Frente a esta situación, el CIO privilegia la vista del negocio, donde la agilidad y el acceso deben ser la norma (Axon, Friedman y Jordan, 2015), mientras el CISO, comprendiendo las exigencias de las áreas, busca conciliar las necesidades de seguridad y control, con el sondeo de oportunidad y diferenciación que se requiere para cautivar y motivar al cliente (Deloitte, 2015). Estas vistas contrapuestas, manifiestan intereses y prioridades, que inicialmente resultan incompatibles, pero que leídas en función del ecosistema digital donde opera, revelan relaciones complementarias que pueden ser ocasión de armonía ante la inevitabilidad de la falla.

Cuando la condición de “ser digital” (Dörner y Edelman, 2015) surge en medio de la dinámica de los negocios, la seguridad de la información y la ciber seguridad, deben atender las realidades emergentes que se hacen manifiestas por las interacciones internas y externas que exhiben las organizaciones. El CIO y el CISO no pueden negar la existencia de riesgos más elaborados e impactos poco conocidos, que si bien, deben ser analizados y tomados de forma inteligente, también deben ser mitigados o asumidos cuando sea el momento y el tiempo.

Tensiones entre el CIO y el CISO
La inevitable confrontación entre CIO y CISO, por entregar lo mejor de sus habilidades e ideas para la organización, debe consultar la realidad de la tecnología, que de acuerdo con recientes estudios: (Moschella, 2015)
  • Se está desacelerando. Tecnologías como el internet de las cosas (IoT), relojes inteligentes e impresoras 3D, se están adoptando más lentamente que otras en el pasado.
  • Es menos disruptiva. Las grandes disrupciones actuales están articuladas con el internet y la web. La movilidad y el IoT han sido más tendencias sostenidas que desestabilizadoras de las industrias. Es probable que propuestas recientes como las gafas de realidad virtual y los drones, pueda en el mediano plazo plantear un nuevo escenario de cambios que afecte dramáticamente las prácticas de las diferentes industrias.
  • No está cambiando la sociedad como antes. La introducción de tecnología en la última década modificó muchos de los comportamientos y negocios disponibles a nivel de los países. Si bien, los nuevos desarrollos tecnológicos pueden crear condiciones diferenciales pronto, la absorción de los mismos por la sociedad, las industrias y las empresas debe transformar prácticas existentes para lanzarse a repensar y leer la realidad en un ecosistema digital.

Si lo anterior es correcto, se está entrando en una meseta de estabilidad tecnológica que debe dar tiempo para avanzar tanto en la necesidades de los negocios, como en las condiciones de seguridad y control que sean del caso, y así  dar cuenta de las exigencias de los clientes frente al tratamiento de la información, así como de las expectativas de los reguladores nacionales e internacionales sobre el ejercicio de ser garante de los derechos y libertades individuales en una sociedad hiperconectada.

El CIO está experimentando a la fecha la tensión de una nueva figura denominada CDO- Chief Digital Officer (Westerman, 2013; Hughes, 2015), una nueva especie de ejecutivo de la tecnología de información, más orientado por la dinámica digital de los negocios, que por la gestión de la tecnología de información en sí misma. En este contexto, el CIO tiene la presión de modificar sus prácticas y condiciones de operación para establecer más que un plan estratégico, una estrategia digital que consolide productos, servicios y contenidos que capturen el mayor valor de su ecosistema y así ubicar a la organización como referente digital para mercados emergentes.

Frente a lo anterior, el CISO tiene al menos dos retos. Uno derivado de su posición organizacional y la necesidad de pasar de ser reconocido como un referente técnico y guardián del programa de seguridad de la información, a ser estratega y asesor que orienta y recomienda la mejor forma de asumir los riesgos emergentes de manera inteligente (Deloitte, 2015).

Por otro lado, el reto de los nuevos pobladores de las organizaciones, que entienden la vida interconectada y compartiendo información. Una nueva raza de individuos que basan sus comportamientos en la práctica de estar conectados y construyendo en comunidad. Unos jóvenes emprendedores que encuentran en las empresas no una forma de obtener un salario, sino una forma de construir y desarrollar sus capacidades. Se resisten a mantener el statu quo y cuestionan las “reglas” de las empresas, desde la esencia de lo que hacen, hasta la forma como se dice proteger la información (Gutiérrez- Rubí, 2014).

Dos vistas de la misma problemática, enfrentan a estos dos cargos por la creación de valor para la empresa. Entendiendo esto último como la dinámica de las relaciones sociales donde están inmersos, para ser reconocidos por los actores del ecosistema social donde actúan y así recibir en contrapartida la energía necesaria para seguir funcionando y evolucionando (Krupatini, 2011, p.86). Superar las prácticas virtuosas de cada uno, es ampliar el campo de las tensiones entre los dos mundos; no hacerlo es condenarlas a la inercia que desgasta sus discursos y disminuye su credibilidad.

Si ambos cargos quieren salir de la lectura operativa, es decir que el área de tecnología es un centro de costo, y por otro lado, que la seguridad de la información es una función que limita las oportunidades de negocio, los dos cargos deben trabajar de manera conjunta compartiendo una vista enriquecida del negocio, que encuentre en el ecosistema digital que la contiene, razones y nuevas propuestas que anticipen los riesgos (y ciber riesgos (Jones, 2015)) para ganar nuevos espacios competitivos en diferentes contextos y sectores.

Lo anterior supone reconocer los nuevos actores del entorno, percibir el nivel de importancia que la organización le asigna a los mismos, comprender las respuestas actuales de las comunidades en internet y establecer una combinación de cooperación y competencia, de desarrollo y fortalecimiento en un espacio común donde tanto actores como organizaciones coinciden para crear respuestas a los efectos evolutivos de un ecosistema, cuyas relaciones cumplen la ley de Asbhy de variedad requerida, esto es, “sólo variedad, destruye variedad” (Krupatini, 2011, p.127-128).

Reflexiones finales
El futuro digital de las empresas demanda una lectura diferente de los escenarios actuales de los negocios. Ser digital no es saber usar las tecnologías para hacer la diferencia, es hacer la diferencia apropiándose de las oportunidades del ecosistema tecnológico disponible, o mejor aún crear una visión inédita que cambie las prácticas de la sociedad actual.

En este sentido, tanto el CIO como el CISO enfrentan un cambio de paradigma, no solo en sus prácticas, sino en la forma de comprender su entorno. Lo anterior implica repensar las prácticas y modelos estáticos basados en precedencias de procesos y cumplimiento de controles, por reconocimiento de relaciones y modelos dinámicos que revelan propiedades emergentes y movimientos inesperados que ponen a prueba tanto la innovación con tecnología, como la protección en función de las prácticas.

En un ecosistema digital no es el control de acceso la estrategia fundamental de la seguridad, sino el control de uso. Esto es, la información por su carácter dinámico va a estar disponible se quiera o no, lo que hay que tener en cuenta es cómo se va a usar de manera responsable para posibilitar nuevas opciones de negocio e igualmente cómo se va filtrar para evitar que se comprometa la oportunidad que se ha creado.

Un ecosistema digital no es una puerta al “libertinaje de la seguridad”, sino un filtro de aseguramiento que entiende la información y sus contenidos, como la fuente de la construcción de confianza y la formalización del relacionamiento confiable. Lo anterior supone una lectura de la seguridad de la información como un ejercicio de protección trascendente que no es otro sino aquel que se manifiesta en cómo “mis acciones” benefician a otros.

Las disrupciones tecnológicas, si bien han disminuido, no es así con el flujo de información disponible. El precio de la conectividad es el costo que se asume por capturar, consumir, reproducir y utilizar la información. Si bien las organizaciones consideran la información como activo clave para sobrevivir, sus prácticas de seguridad y control no se encuentran del todo aseguradas y sus consecuencias se advierten en noticias internacionales donde el riesgo de pérdida y/o fuga de información es la materialización más frecuente.

Si antes entendíamos el malware, el spear phishing, el ciber espionaje, las botnets, la negación del servicio como riesgos claves para la operación, establecer referentes de ciber riesgos sobre las realidades del futuro es darle a las comunidades en internet el protagonismo clave, no sólo para seguirlas y aprender con ellas, sino para anticipar tendencias inherentes a las relaciones que se planteen al interior de las mismas.

Ignorar que tenemos realidades emergentes tejidas en el relacionamiento informático de la red, que somos parte de las preguntas y respuestas sobre el ecosistema digital, es negarnos la oportunidad de anticipar y cultivar un escenario con riesgos conocidos, latentes, focales y emergentes (Cano, 2014) que describan la dinámica de la organización en medio de su entorno.  

Así las cosas, no es con más tecnologías de información o de seguridad y control como las prácticas de aseguramiento y el compartir información se van a consolidar, sino con una lectura sistémica de la realidad de la empresa y sus condiciones emergentes, que cambien los modelos mentales vigentes en la actualidad tanto del CIO como del CISO, para que den cuenta de las transformaciones requeridas en las personas y en la sociedad de la información desde la inevitabilidad de la falla y la protección del valor de la información.

Referencias
Axon, L., Friedman, E. y Jordan, K. (2015) Leading now: Critical capabilities for a complex World. Corporate learning. Harvard Business Publishing. Recuperado de: http://www.harvardbusiness.org/leading-now-critical-capabilities-complex-world
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Everyone wants to go digital. The first step is truly understanding what that is. Mckinsey Quarterly. Recuperado de: http://www.mckinsey.com/insights/high_tech_telecoms_internet/what_digital_really_means
Gutiérrez- Rubí, A. (2014) 6 rasgos clave de los millennials, los nuevos consumidores. Forbes México. Recuperado de: http://www.forbes.com.mx/6-rasgos-clave-de-los-millennials-los-nuevos-consumidores/
Hughes, P. (2015) The rise of the Chief Digital Officer. Key considerations for driving digital growth from the C-suite. Deloitte Canada. Recuperado de: http://www.deloittedigital.ca/chief-digital-officer
Jones, J. (2015) 5 Questions Boards and the C-Suite Should Be Asking About Cyberrisk. Risk Management. Monitor. Recuperado de: http://www.riskmanagementmonitor.com/5-questions-boards-and-the-c-suite-should-be-asking-about-cyberrisk/
Krupatini, S. (2011) Y ahora qué hacemos ante la complejidad. Buenos Aires, Argentina: Gránica.
TrendMicro (2015) A Rising Tide: New Hacks Threaten Public Technologies. Recuperado de: http://www.trendmicro.co.nz/vinfo/nz/security/research-and-analysis/threat-reports/roundup
Westerman, G. (2013) Should Your CIO Be Chief Digital Officer? Recuperado de: https://hbr.org/2013/08/should-your-cio-be-chief-digit/

lunes, 7 de septiembre de 2015

Ciberseguridad empresarial. Primeras aproximaciones prácticas

Introducción
La evolución acelerada de la tecnología y las comunicaciones en todas las esferas de la vida y particularmente en las empresas, demanda entender ahora una realidad interconectada, donde los productos y servicios se definen en medio de lo que se llama un ecosistema digital.

Las empresas deben comprender que el escenario de operación, ya no es del todo conocido y que se requiere superar la distinción vigente de la seguridad de la información, como ejercicio de práctica interna para proteger la organización de vulnerabilidades y fallas de seguridad y control que puedan comprometer tanto la dinámica de negocio como la de sus terceros, en los cuales la empresa es custodio de sus datos, por una nueva y complementaria que se ha denominado ciberseguridad.

La ciberseguridad, desde el punto de vista empresarial, es una realidad que prepara a la organización para comprender un escenario de amenazas digitales propias del ecosistema donde opera y establece un conjunto de nuevas prácticas de defensa y anticipación antes desconocidas y poco nombradas. La ciberseguridad empresarial no puede ni debe confundirse con el ejercicio que se hace a nivel nacional para proteger y defender las infraestructuras críticas de la nación, como quiera que dicho ejercicio escapa a las disposiciones que un país hace para reconocer su ecosistema digital de gobierno y cómo se mantiene la operación del mismo a pesar de los posibles ataques.

En este sentido, la ciberseguridad se enmarca en el contexto de lo empresarial, más allá de una nueva exigencia de cumplimiento, como una responsabilidad de marca mayor que implica a los miembros de la junta directiva para entender y construir una estrategia corporativa que permita proteger y asegurar la resiliencia de las operaciones y la reputación de la empresa, como quiera que al estar expuesta en su ecosistema, se hace vulnerable a las tendencias y posiciones en las redes sociales y demás expresiones digitales disponibles a la fecha.

Así las cosas, la ciberseguridad juega un papel relevante en las empresas del siglo XXI habida cuenta que los impactos de los posibles ciberataques, bien focalizados sobre la infraestructura tecnológica, o a través de campañas mediáticas de desprestigio, o provocando la pérdida de propiedad intelectual o sanciones legales, establecen una nueva realidad que las empresas modernas deben asumir ahora como la nueva frontera del precio que se debe pagar por estar interconectados y haciendo parte de una red de contactos y conexiones, muchas de ellas compartidas por terceros con los cuales otras industrias igualmente contratan.

Este documento presenta una breve revisión del concepto de ciberseguridad desde la perspectiva de las empresas, como una primera aproximación para ilustrar los conceptos, prácticas y retos que las organizaciones deben asumir por ser parte de un entorno hiperconectado, con relaciones asimétricas, abundancia de propuestas y servicios novedosos, que en cualquier momento tiene la capacidad de cambiar la historia y motivar cambios hasta el momento inimaginados.

La ciberseguridad en la empresa. Algunas precisiones conceptuales
Si bien, es cierto que un ciberataque puede ocurrir en cualquier momento y de cualquier forma, los especialistas en ciberseguridad de las empresas no están para reducir este tipo de riesgo, sino para que las organizaciones tomen riesgos de manera inteligente. Para lo cual se requiere al menos dar respuesta a las siguientes preguntas: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvi)
  • ¿Cuáles son los riesgos asociados con esta nueva iniciativa tecnológica del negocio? ¿El negocio está informado sobre el incremento del nivel de exposición de la empresa con esta iniciativa?
  • ¿Cómo esta iniciativa tecnológica del negocio será diseñada para generar la mejor experiencia en el cliente y el menor riesgo de pérdida de datos por un ciber ataque?
  • ¿El negocio conoce con claridad la dinámica y amenazas del ecosistema digital donde se enmarca la iniciativa tecnológica que se quiere desarrollar?
Responder estas preguntas, establece en la empresa un entendimiento extendido de lo que significa operar en un entorno interconectado donde, las empresas no pueden protegerse ellas solas, sino que requieren conectar y desarrollar cooperación interempresarial para construir una distinción de defensa y anticipación completamente distinta a lo que se tiene en el ejercicio interno de seguridad de la información.

En este contexto, el primer ejercicio para movilizar esfuerzos hacia la ciberseguridad empresarial, es reconocer y construir su ecosistema digital, para enumerar sus proveedores de servicios y tecnología, las expectativas de los posibles clientes, las agencias gubernamentales y sus capacidades de acción, la sociedad civil y sus grupos relevantes y los aseguradores con sus propuestas de cobertura frente ciberataques.

Una vez recreado el mapa de actores y relaciones propios del ecosistema digital, la empresa, sabiendo que no puede eliminar de sus análisis la materialización de un ciberataque, debe fundamentar sus acciones para alcanzar lo que la literatura llama resiliencia digital, donde: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvii-xviii)
  • La empresa comprende los riesgos de los ciberataques y puede tomar decisiones, donde los retornos de las iniciativas tecnológicas planteadas, justifican el incremento del riesgo.
  • La empresa tiene la confianza que los riesgos de los ciberataques son manejables, más que los estratégicos – los cuales no ponen en riesgo la posición competitiva de la empresa o su existencia.
  • Los clientes y los negocios tienen confianza en la economía en línea – donde los riesgos sobre los activos de información y los fraudes en línea no son freno para el crecimiento del comercio digital.
  • El riesgo de ciberataques no limita a las empresas de continuar tomando ventaja de las innovaciones tecnológicas.

El ejercicio de resiliencia digital debe procurar la continuidad de los negocios, fundada en la capacidad de la empresa para gestionar los incidentes de seguridad y asegurar la disponibilidad de los sistemas, basado no solamente en sus posibilidades técnicas y operacionales, sino con el apoyo de sus socios estratégicos en el ecosistema digital donde participa.

La ciberseguridad en la empresa y sus nuevos normales
Las empresas entienden que las prácticas básicas de seguridad de la información, sustentadas en los estándares conocidos (p.e ISO 27002) establecen los elementos que articulan las estrategias que se desarrollen para asegurar la nueva función de ciberseguridad de la organización.

Esto supone que se debe pasar de un enfoque basado en proteger y asegurar, el cual moviliza las actividades al interior de la organización para cultivar un adecuado tratamiento de la información y soportar las exigencias propias del cumplimiento regulatorio, a otro basado en defender y anticipar donde la organización censa y responde de acuerdo con su lectura del ambiente, las tendencias identificadas y los retos de negocio que crean entornos disruptivos que afectan su posición estratégica y competitiva (Cano, 2014).

Lo anterior significa que las prácticas que conocemos de la seguridad de la información asociadas con autenticación, autorización, auditabilidad y no repudio, deben ser complementadas con otras que den cuenta de las exigencias de anticipación que ahora las empresas requieren para mantener ahora su nivel de “ciber-riesgo” (Frapolli, 2015, p.1.3).

Las prácticas complementarias, que podemos llamar propias de la ciberseguridad de las empresas, deben estar fundadas en actividades relacionadas con:
  • Análisis de escenarios – Una práctica que establece y proyecta contextos posibles de amenazas y riesgos emergentes, con el fin de motivar reflexiones y acciones que preparen a la organización frente a situaciones imprevistas y eventos no esperados.
  • Ciber inteligencia – Una función de monitoreo y valoración de información sobre amenazas, que desarrolla pronósticos sobre vectores de ataques y objetivos que los atacantes pueden materializar en el contexto del ecosistema digital donde opera la organización.
  • Juegos de guerra – Se diferencian de las pruebas de vulnerabilidades tradicionales, donde se contratan terceros para identificar fallas en la infraestructura que habilitan una fuga y/o pérdida de información, en cuanto a que en los juegos de guerra se busca comprender la información a proteger, sabiendo las fallas de seguridad que el atacante puede concretar y así poder ver las limitaciones que la empresa tiene para enfrentar un ciberataque, particularmente en la forma de establecer su estrategia de comunicaciones y su proceso de toma de decisiones (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.150)
  • Defensa activa – Que implica pasar de una postura pasiva de respuesta frente ataques del exterior, a una reflexión que modela y anticipa los nuevos movimientos de los atacantes, para lo cual: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.134-135)
    • Establece los perfiles de actividades que son consideradas normales en la organización, para poder ver los cambios inusuales, y así alertar y actuar en consecuencia.
    • Integra los resultados de la ciber-inteligencia para plantear hipótesis de posibles intrusiones peligrosas y emergentes.
    • Consulta y afina los resultados del Centro de operaciones de seguridad (en inglés SOC – Security Operation Center), que filtrando los posibles falsos positivos y descifrando los nuevos patrones o vectores de ataque, permite focalizar las acciones que son decisivas para enfrentar y tratar de contener los posibles atacantes. 
La ciberseguridad en la empresa y sus nuevos retos
La ciberseguridad en el contexto empresarial tiene un foco completamente diferente a las connotaciones del concepto en el escenario de la protección de la gobernabilidad de una nación. Mientras a nivel de país, la ciberseguridad adquiere una distinción de práctica transversal que conecta los sistemas de protección de cada una de las entidades que hacen parte del sistema de gobierno nacional para hacer más resiliente la operación gubernamental, a nivel empresarial se revelan las conexiones propias de la corporación y la sensibilidad de las mismas frente a su capacidad de resistencia a ciberataques que comprometen su modelo de operaciones.

En razón a lo anterior, se requiere formular una nueva función de protección del modelo de negocio, basado en la lectura del ecosistema digital, que incorpore nuevas habilidades y capacidades para defender y anticipar nuevos escenarios de ciberataques, las cuales deben responder a retos empresariales como: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.163)
  • Priorizar los activos de información basado en los riesgos de negocio.
  • Integrar las prácticas complementarias previamente enunciadas en el entorno de la tecnología de información empresarial.
  • Incorporar el concepto de ciber-riesgo dentro del sistema de riesgos empresariales y los procesos de gobierno corporativo.
  • Establecer estrategias de protección diferenciadas de acuerdo con en el nivel de sensibilidad de los activos identificados.
  • Mantener y sostener la capacidad de respuesta a incidentes, que permita incorporar y asegurar las lecciones aprendidas y aumentar la resiliencia corporativa.

Estos retos se deben traducir en planes de acción y estrategias concretas que permitan asegurar la incorporación de los “nuevos normales” y así cambiar, no solamente la estrategia de participación de la empresa en su entorno digital, sino activar un nuevo conjunto de habilidades y recursos que construyan un nivel de resiliencia mayor dentro de su ecosistema digital para lo cual es clave tener en cuenta: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.191)
  • Las definiciones de política pública nacional e internacional vigente.
  • Los aportes de la sociedad civil, las comunidades académicas y de investigación.
  • La dinámica de los mercados y cambios en internet, que hablen de acciones coordinadas para estabilizar y normalizar operaciones comprometidas.

Finalmente y no menos importante, se hace necesario incorporar dentro de la agenda empresarial a nivel de junta directiva (Rai, 2014), la lectura de algunos deberes claves de los miembros del directorio, como práctica de gobierno corporativo que reconoce las amenazas externas y las volatilidades propias del ecosistema digital donde se encuentra la organización.

En este escenario, los miembros de junta deben asegurar que sus actuaciones son consistentes con esta realidad y dar cuenta de sus acciones respecto de estos eventos, para movilizar y asegurar su debido cuidado y diligencia frente a los intereses de la empresa y el cuidado de la imagen corporativa. Por tanto, cada miembro de junta debe asegurar el cumplimiento de al menos cinco deberes (Frappolli, 2015, p. 3.16 - 3.17) frente a la dinámica de las tensiones que provoca un ciberataque y las exigencias que la ciber seguridad demanda tanto para la organización como para sus ejecutivos de primer nivel.

Deber de cuidado - Cada miembro de junta debe mantenerse informado de los eventos y noticias relevantes sobre ciber seguridad y/o ciber ataques con el fin de asegurar un tono adecuado de las discusiones en el contexto de los objetivos y estrategias de la organización.

Deber de lealtad - Cada miembro de junta no debe tener o participar en negocios que compitan con la organización para cual sirve, y más aún, comunicar situaciones adversas de las cuales tenga conocimiento que afecten las condiciones de seguridad y control que tenga la empresa de la cual es miembro en su directorio ejecutivo.

Deber de divulgación - Los miembros de junta están obligados a revelar los hechos que son relevantes para los grupos de interés de la empresa para cual trabajan. En particular, establecen el mecanismo y la estrategia que permite dar cuenta de eventos desafortunados de seguridad de la información con impactos en alguno de sus grupos de interés.

Deber de obediencia - Los miembros de junta deben ceñir sus actuaciones a la Constitución y la ley, así como frente a los fundamentos del gobierno corporativo. Esto es, asegurar las prácticas y estándares requeridos para aumentar la resistencia de la empresa frente a ataques informáticos, así como motivar y apoyar comportamientos adecuados en el tratamiento de la información de la empresa.

Deber de verificación - Los miembros de junta deben contar con mecanismos para validar las acciones que sobre el tema de seguridad de la información se adelantan en la empresa, motivar los planes de mejora que sean del caso y asegurar los recursos necesarios para incorporar las buenas prácticas tanto en personas, procesos y tecnología.

Reflexiones finales
Si bien a lo largo de este documento se han enunciado algunas ideas sobre la ciberseguridad en el contexto empresarial, es importante anotar algunos de los retos legales propios de la tensión existente entre el uso abierto y libre del ciberespacio y la protección del mismo como espacio de estrategias competitivas e innovación: (García, 2013, p.87-90)
  • La neutralidad de la red.
  • La regulación del ciberespacio.
  • Las amenazas para derechos y garantías individuales.
  • Las responsabilidad de los proveedores de los servicios.
  • Los problemas de la jurisdicción sobre los alcances de las conductas punibles en internet.
  • Las tecnologías emergentes estructurales como computación en la nube, computación móvil, las redes sociales, los grandes datos y su analítica y el internet de las cosas.

Estos retos completan el escenario volátil, incierto, complejo y ambiguo (Johansen, 2009) que configura la realidad de las organizaciones modernas enmarcadas dentro de un ecosistema digital en permanente movimiento y evolución. Así las cosas, la ciberseguridad empresarial debe prepararse para las nuevas amenazas digitales derivadas ahora de su relacionamiento con cada uno de los actores del ecosistema donde participa:
  • Las agencias de regulación
  • Los proveedores de servicios y productos
  • Los vendedores de tecnologías de información y comunicaciones
  • Las asociaciones industriales
  • Los clientes corporativos y los consumidores
  • El gobierno y sus agencias de seguridad y control
  • Los atacantes
  • La sociedad civil

Lo anterior implica entender con claridad qué significa ser una empresa digital (Dörner y Edelman, 2015) o con maestría digital (Westerman, Bonnet y McAfee, 2014), esto es:
  • Lectura y análisis de los comportamientos y expectativas de los clientes que se desarrollan dentro y fuera del contexto de negocio, así como fuera de su sector, para identificar las tendencias que pueden entregar o destruir valor.
  • Uso de nuevas capacidades para mejorar la forma como se atiende a los clientes y se mejora su experiencia como usuario.

en pocas palabras los procesos tecnológicos y organizacionales que permiten que una empresa sea ágil y rápida para responder y anticipar los cambios disruptivos del entorno y capitalizar las oportunidades que se derivan de los mismos (Dörner y Edelman, 2015).

Por tanto, la ciberseguridad empresarial debe apoyar y movilizar a la organización para establecer su nivel de exposición al ciber-riesgo, entendiendo sobre que parte de la cadena de valor tendrá control y cuanto desea invertir en conocer sus clientes finales (Weill y Woerner, 2015). Esto significa que deberá desarrollar escenarios de análisis, donde se desconecten los puntos de la realidad conocida, se incorporen los resultados de la ciber inteligencia realizada, para nuevamente conectarlos (De Jong, 2015) y así expandir el entendimiento de su ecosistema y revelar aspectos ocultos de futuros inciertos o riesgos inesperados (Roxburgh, 2009).

La ciberseguridad empresarial por tanto, es una nueva práctica corporativa que demanda explorar por debajo de la superficie institucional y en medio de la vorágine de propuestas emergentes, aspectos novedosos de la realidad que motiven y descubran agentes de riesgo inéditos o renovados, que puedan comprometer la dinámica de los negocios y establecer condiciones adversas que limiten su participación en las oportunidad de su sector.

Si lo anterior es correcto, la ciberseguridad empresarial se convierte en un nuevo estándar de las operaciones de las empresas con presencia global, que reconocen que no existen límites geográficos para que un atacante, o actor no identificado, pueda concretar un ciberataque y crear un escenario de inestabilidad e incertidumbre que comprometa sus virtudes corporativas y alianzas estratégicas.

Referencias
Cano, J. (2014) Transformando la función de la seguridad de la información. Anticipando el futuro, entendiendo el presente. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2014/11/transformando-la-funcion-de-la.html
De Jong, R. (2015) Anticipate. The art of leading by looking ahead. New York, NJ. USA: Amacon.
Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Mckinsey Digital. Recuperado de: http://www.mckinsey.com/insights/high_tech_telecoms_internet/what_digital_really_means
Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.
García, P. (2013) El derecho de internet. En Segura, A. y Gordo, F. (coords) (2013) Ciberseguridad global. Oportunidades y compromisos en el uso del ciberespacio. Granada, España: Editorial Universidad de Granada. 69-90
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20
Roxburgh, C. (2009) The use and abuse of scenarios. Mckinsey Quarterly. Noviembre.
Weill, P. y Woerner, S. (2015) Thriving in an increasingly digital ecosystem. Sloan Management Review. 56, 4. 27-34
Westerman, G., Bonnet, D. y McAfee, A. (2014) Leading digital. Turning technology into business transformation. Boston, MA. USA: Harvard Business Review Press.