lunes, 9 de mayo de 2016

¿Dónde ubicar la función de seguridad y control de la información en las organizaciones modernas? Una decisión multidimensional y evolutiva

Una de las preguntas que con frecuencia se hacen las organizaciones y en general las personas que trabajan en seguridad de la información es ¿dónde debe ir ubicado el ejecutivo de seguridad de la información? Una inquietud que no sólo tiene implicaciones prácticas para el ejercicio de la función de seguridad y control de la organización, sino exigencias corporativas, económicas y políticas que las empresas deben asumir y comprender para definir qué tan importante es la protección de la información y cómo se entiende en el desarrollo de su modelo de generación de valor (Choudhary, 2015).


Figura 1. Evolución de la función de seguridad de la información (Autoría propia)

Una primera aproximación para dar respuesta a esta pregunta, la podemos ver en la evolución de la función de seguridad de la información (ver figura 1). En los años 60 y 70 la seguridad de la información estaba concentrada en el desarrollo y aplicación de controles tecnológicos de control de acceso, los cuales aún tenemos en la actualidad. Esta connotación técnica ubicaba a la función en el escenario de las áreas de tecnología de información, pues los especialistas del tema estaban allí y conocían bien la manera de configurarla para asegurar el acceso a la información a las personas y programas autorizados (Department of Defense, 1970).

Luego con la llegada de internet, durante los 80 y 90, la seguridad de la información se observa desde la vista de procesos y riesgos, es decir, la comprensión de la inevitabilidad de la falla se incorpora en la dinámica de las actividades de la empresa, ubicando a la información en un lugar visible y con impactos particularmente claves, motivando reflexiones adicionales que sacan a la seguridad de un lindero eminentemente tecnológico, para leerlo a la luz de los resultados propios de la realización de las funciones del negocio.

Ahora no es solamente que tan bien está configurado el control de acceso, sino comprender los impactos de una gestión inadecuada de los riesgos que se identifican en los procesos, lo cual ubica al área de seguridad en la lectura de los dominios de los sistemas de riesgo empresariales.

Entrado el nuevo milenio y su primera década, el tema de la seguridad y control evoluciona hacia un lugar más empresarial, se incorpora dentro de las exigencias de cumplimiento regulatorio, como quiera que el ejercicio empresarial en el contexto de una sociedad de la información y el conocimiento, demanda una serie de condiciones básicas para aumentar la confianza de los clientes y proteger el valor de los inversionistas. La proliferación de normas con exigencias de protección y aseguramiento de información, elevan la discusión de la seguridad al escenario del satisfacer requerimientos por los cuales las empresas pueden o no pertenecer a un grupo particular.

En este sentido, no son solo los controles tecnológicos, ni la gestión del riesgo sobre el inadecuado tratamiento de la información, sino ahora las implicaciones sobre los reguladores por incumplimientos de las normas y estándares que generan confianza a los terceros interesados, llevando a la función de seguridad a los dominios de las áreas de cumplimiento.

Con la modificación acelerada del mundo a través de la tecnología, que revela una sociedad digitalmente modificada hacia 2020, donde el flujo de información se percibe con mayor claridad en los nuevos productos y servicios de las “cosas conectadas”, estamos entrando en una nueva revolución industrial donde de forma instantánea tenemos información sobre el estado de las cosas y las personas. Una realidad que experimenta cambios y se ajusta conforme las personas actúan y se relacionan con otras. En este escenario, la seguridad de la información se convierte en un valor fundamental, en una exigencia necesaria y mandatoria que permita a las personas mantenerse conectadas con la tranquilidad que su “realidad digital”, representada en todo lo que recibe y transmite, se mantiene dentro del dominio de experiencia que ellas han declarado compartir (Porter y Heppelmann, 2015).

Así las cosas, la protección de la información no sólo se traduce en medidas tecnológicas al interior de la organización, orientadas por una gestión de riesgos y controles propios de los procesos, que asisten las exigencias de cumplimiento normativo nacionales e internacionales, sino que ahora deben concretar elementos de protección más allá de los límites empresariales y asegurar que los productos y servicios que consumen sus clientes funcionen de tal manera que no permitan que una falla al interior de los mismos comprometa o afecte la esfera personal y familiar de los mismos. Por tanto, pasamos de una distinción de protección de afectaciones que vienen del exterior a mantener una operación interna de productos y servicios confiable, que funcione y sobreviva a pesar de los ataques externos (Bughin, Lund y Manyika, 2016).

En este contexto, la función de seguridad de la información adquiere mayor visibilidad y sensibilidad por parte de los clientes y por tanto de los ejecutivos de la empresa, generando mayor necesidad de conocimiento de los avances y prácticas de protección tanto al interior de la operación de la empresa, como en los procesos de producción y fabricación de los productos y servicios, habida cuenta que un falla generalizada en un uno de ellos, no solo tiene alcances técnicos sino repercusiones económicas, sociales, políticas y administrativas; en pocas palabra se hace evidente las relaciones sistémicas que la empresa mantiene con su entorno y cómo éste afecta la manera como ella desarrolla su actividad económica (De Geus, 2011).

Bajo este escenario la función de seguridad y control, se especifica a través de lo que se denomina riesgo “ciber”, una categoría que no solo concreta lo tecnológico como tal, sino como la integración o convergencia entre lo físico y lo lógico cambia la forma como entendemos la relación entre la empresa y los clientes, así como la manera en que se conciben los impactos dentro y fuera de la organización. Lo “ciber” conecta a la empresa en un espacio de relaciones hacia el exterior, para entender cómo ella y sus operaciones afectan a otros y cómo los otros y sus actividades concretan efectos en su desarrollo de negocio (Frappolli, 2015).

En consecuencia, la función de seguridad de la información eleva su discurso de cumplimiento a una lectura de valor para el negocio, de implicaciones políticas para los miembros del directorio, de impactos en las expectativas de los clientes y sobremanera en la supervivencia de la empresa en un entorno digital. Con esta lectura, el ejecutivo de seguridad deberá madurar y desarrollar un discurso políticamente correcto, que, asistido por su conocimiento del entorno, como buen estratega que debe ser, ilustra la forma como superar el laberinto de las amenazas emergentes de este entorno, comprometiendo las voluntades de los directores de la junta para concebir una lectura conjunta de estrategia corporativa digitalmente sostenible, a pesar de la inevitabilidad de la falla, que en últimas lo que significa es construir confianza y ofrecer orientación para concretar una estrategia empresarial (Cano, 2015).

Bajo este entendimiento, la función de seguridad de la información no estará atada a las connotaciones técnicas de los dispositivos tecnológicos, ni a las normas o riesgos particulares de las plataformas, sino a las lecturas ejecutivas que definen el futuro de las empresas. Las discontinuidades del entorno, particularmente basadas en estrategias digitales, se transforman en eventos relevantes que alteran la realidad empresarial y que son leídos por los miembros de la junta como eventos para revisar, bien como oportunidades o amenazas, donde el ejecutivo de seguridad y control, hace parte de la vista valiosa que define el posicionamiento de la empresa entre los clientes (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015).

Otros análisis efectuados por firmas de consultoría internacionales (Rose, 2012; Scholtz, 2014) y estudios de industria (Veltsos, 2016) establecen otros factores adicionales para establecer dónde se debe ubicar el área de seguridad de la información. Entre los elementos que estos estudios indican están la madurez de la organización en su sector de negocio, el nivel de cercanía con el área de tecnología de información, el lenguaje de negocio que utiliza el ejecutivo de seguridad para comunicarse con la junta, la complejidad del reporte de cumplimiento empresarial, las tensiones entre el área de riesgo y cumplimiento, entre otras, los cuales advierten relaciones claves que de igual forma deben considerarse para tomar la decisión de ubicar esta área.

Cualquiera que sea la ubicación que se defina, habrá que tener claridad de las bondades y limitaciones del enfoque que se decidido, esto es, cómo estará afectada la visibilidad del área, cómo serán las relaciones necesarias con el área de tecnología de información, qué sintonía debe desarrollar con las áreas de negocios y la necesidad para alcanzar resiliencia en su operaciones, qué lenguaje será el más adecuado para comunicar su promesa de valor, cómo será el perfil de sus analistas de seguridad y control, el alcance de su labor empresarial: seguridad, privacidad, ciberseguridad, fraude, seguridad física, seguridad electrónica, las relaciones con los entes de control, instituciones de estándares y buenas prácticas, así como con los supervisores de su sector y el gobierno.

Por tanto, ubicar organizacionalmente el área de seguridad de la información en una empresa, en un escenario volátil, incierto, complejo y ambiguo (Johansen, 2009), deberá reconocer las oscilaciones estructurales que la dinámica empresarial exhibe y la necesidad de agilidad permanente frente a sus competidores, para desarrollar una capacidad de aprender y desprender de forma acelerada, por lo cual deberá tener en cuenta los siguientes aspectos:
  • Ser lento es especialmente peligroso en un mundo de frecuentes cambios.
  • Es necesario experimentar permanentemente con la realidad. Por tanto, fallar de forma segura todo el tiempo debe ser la norma.
  • El temor a los riesgos impregna los procesos de pensamiento de los ejecutivos. La audacia de las opciones creativas requiere quebrar estándares conocidos y hacer apuestas sobre entornos inestables.
  • Las negociaciones entre seguridad y funcionalidad no pueden ser opciones exclusivas de atajos de tiempo hacia el futuro, sino opciones de riesgos calculados e informados para concretar oportunidades.
  • La función de seguridad y control no es un ente pasivo manipulado por fuentes externas, por lo que no puede ser explicada solamente por relaciones causa-efecto.

Referencias
Bughin, J., Lund, S. y Manyika, J. (2016) Five priorities for competing in an era of digital globalization. Mckinsey Quarterly. Mayo. Recuperado de: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/five-priorities-for-competing-in-an-era-of-digital-globalization
Cano, J. (2015) Juntas directivas. Descifrar e influenciar su imaginario vigente sobre la seguridad de la información. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2015/08/juntas-directivas-descifrar-e.html
Choudhary, U. (2015) This Might Be The Next Coveted Leadership Position Of 2015. F@stcompany Magazine. Recuperado de: https://www.fastcompany.com/3043376/how-to-earn-respect-from-the-hottest-seat-in-leadership-today
De Geus, A. (2011) La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento. Buenos Aires, Argentina: Gránica.
Department of Defense (1970) Security controls for computer systems (U). Report of Defense Science Board Task Force on Computer Security. Febrero. Recuperado de: http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf  
Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.
Rose, A. (2012) Role Job description: Chief information security officer. Forrester Research.
Scholtz, T. (2014) Determining Whether the CISO Should Report Outside of IT. Gartner Research.
Veltsos, C. (2016) Is Your CISO Out of Place? Recuperado de: https://securityintelligence.com/is-your-ciso-out-of-place/