Introducción
Un reto permanente para los
ejecutivos de seguridad de la información es presentarse en la junta directiva
de sus organizaciones, entender la dinámica política que existe en ese nivel y
poder transmitir el mensaje correcto que apalanque sus iniciativas y promueva
una mayor sensibilidad del tema en medio de las agitadas agendas de los miembros
de la junta. (HEATH, C. y HEATH, D. 2011)
En este sentido, el
responsable de la protección de la información, busca la manera de obtener la
percepción de lo que están pensando en este nivel, sin que muchas veces lo
logre con especial acierto, toda vez que es por medio de terceros que recibe
dichos insumos. Así las cosas, los directivos de seguridad de la información,
se encuentran en una encrucijada que les demanda por un lado, dar resultados
visibles y tangibles, y por otro, hablar con suficiencia y claridad ante los
ejecutivos de primer de la empresa, sin caer en los tecnicismos y jerga
tentadora de la seguridad tecnológica y sus amenazas.
Para balancear este ejercicio
necesario del reporte de la seguridad de la información en los primeros niveles
de las empresas, se hace necesario entender que no existe el riesgo cero y por
tanto, todos los esfuerzos que se adelanten desde el área de seguridad de la
información buscarán mantener a la organización en un umbral de riesgo
permitido, balanceando recursos e insumos a nivel de persona, procesos y
tecnología.
En este contexto, un reciente
documento de Forrester, nos propone un conjunto de cinco interrogantes que
cualquier CISO – Chief Information
Security Officer o Ejecutivo de la Seguridad de la Información, debería
responder con claridad y suficiencia para crear un esquema consistente y
motivador frente a la dinámica de las juntas directivas. Esto es, poder enviar
un mensaje transparente que no subestime los esfuerzos actuales realizados,
pero que tampoco desdibuje las iniciativas planteadas a futuro para anticiparse
a los riesgos y amenazas emergentes identificados.
Las preguntas planteadas por
el analista de Forrester son: (ROSE 2013)
1.
¿Cuáles son las
tendencias nuevas y emergentes?
2.
¿Cuáles son
nuestros planes y nuestro avance frente a ellas?
3.
¿Cómo nos podemos
comparar contra otras empresas del sector?
4.
¿Cuál es la
brecha que tenemos frente a la situación ideal?
5.
¿Cuáles son las
potenciales consecuencias de las brechas identificadas?
Cada una de estas preguntas
indaga en la médula de la gestión del responsable de la seguridad de la
información y le extiende una invitación para pensar de manera estratégica y
fundada en los activos claves de negocio, donde la información se convierte en
insumo y referente natural para que la organización asuma los riesgos
calculados para crear el movimiento disruptivo requerido para llevarla al
siguiente nivel de evolución, donde sólo tienen reservado lugar los que se han
lanzado a crear una forma diferente de hacer las cosas.
Tendencias nuevas y emergentes
Si alguna industria es
susceptible a los nuevos cambios tecnológicos y nuevas oportunidades de
negocio, es claramente la seguridad de la información. Una industria que tiene
su referente en el activo más representativo de las organizaciones del siglo
XXI, en el insumo y materia prima para construir y crear los nuevos escenarios
emergentes que están por escribirse.
Las tendencias nuevas y
emergentes en seguridad de la información no se pueden quedar en aquellos
eventos y realidades conocidas, sino que es deber del ejecutivo de seguridad de
la información lanzarse a explorar posibilidades desconocidas y poner de
manifiesto en su tablero de amenazas y riesgos emergentes, un paisaje
multicolor de expresiones y experiencias que pueden o no estar documentadas,
para motivar el pensamiento lateral y activar nuestra imaginación de manera
disciplinada para ver el futuro en el momento presente.
Sin perjuicio de lo anterior,
es claro que los reportes de los analistas especializados, las reflexiones de
los miembros de la junta, las preocupaciones de los analistas del mercado y los
cambios del entorno advertidos en ejercicios realizados por equipos
internacionales, son elementos fundamentales para poder advertir lo que se
visualiza en el mediano y largo plazo. Sin embargo, estas anotaciones
particulares, basadas en ejercicios de pronóstico, deberán articularse con la
exploración del futuro que no es posible tener sin el permiso de las posibilidades
y no de las probabilidades.
Como quiera que el ejercicio
de explorar el futuro, es un proceso de tratar de darle a un blanco en
movimiento, se requiere que todos aquellos que participan en él, experimenten
la sensación de estar “perdidos” y “desorientados”, pues sólo en esa condición
de contradicción inherente, es posible advertir aquellos conceptos innovadores
que son necesarios para sumergirse en la dinámica de la inseguridad de la
información, que no es otra cosa que encontrarnos frente a frente con la
inevitabilidad de la falla.
Las tendencias nuevas y
emergentes, no son otra cosa que lanzarnos a explorar las asimetrías de las
fallas en las personas, procesos y tecnología, para encontrar nuevas historias
de eventos inesperados que podamos advertir, conocer, probar y ejecutar, para
así explorar las consecuencias de haberlas materializado. Por tanto, se
requiere que un equipo mantenga su vista sobre los incidentes de la industria
particular de la empresa, las advertencias de seguridad de las tecnologías y
los comportamientos inadecuados de las personas, para comenzar a escribir el
escenario emergente donde aún no se conocen sus impactos.
Cuando el reto de declarar
las tendencias de los riesgos y amenazas emergentes aparezca, recuerde que
habrá mucho que leer, mucho que revisar y documentar, antes de establecer una
visión en el horizonte. Este es un ejercicio que si bien no es exacto, si pone
a prueba la experiencia de los analistas y el buen criterio del ejecutivo de
seguridad, así como sus conocimientos de la industria para dar una vista lo más
cercana posible que genere la confianza en el cuerpo directivo de primer de la
empresa.
Planes y avances
Luego de tener un panorama
mediamente claro sobre las amenazas y riesgos emergentes en seguridad de la
información, la tendencia natural de los ejecutivos es preguntar sobre los
riesgos conocidos y los planes de tratamiento se tienen establecidos, qué nivel
de avance se tiene y si con estas acciones, tenemos un nivel riesgo residual aceptable.
La necesidad de certeza de
los ejecutivos y el conocimiento del nivel de riesgo de exposición, es una
constante en los cuerpos directivos. Si bien esta preocupación, generalmente
asociada con el riesgo de reputación, mantiene alertas a estos ejecutivos, se
requiere que dicho interés trascienda dichos elementos para que encuentren
otros elementos de análisis que integren su panorama de riesgos empresariales
frente a la dinámica político-corporativo que reviste a la junta directiva.
(MONTAÑES DUATO 2003)
Los planes de acción son la
vista táctica de la revisión del panorama de tendencias, es decir, la parte de
la ejecución de la estrategia de seguridad de la información, que requiere la
coordinación de las iniciativas en los tres componentes del modelo de protección
de la información: personas, procesos y tecnología. Esto es, describir de
manera lógica y articulada como la realidad de los negocios empresariales se ve
afectada por la dinámica de la inseguridad de la información y sus impactos.
Las acciones previstas en los
planes de tratamiento de los riesgos, generalmente orientadas por probabilidad
e impacto, deben incorporar las reflexiones estratégicas de los negocios de la
empresa, para imprimir la impronta de las consecuencias que exhiben la materialización
de los riesgos y así, enviar un mensaje claro y efectivo a los miembros de la
junta directiva, no como una advertencia sobre posible hechos que afecten las
operaciones de la empresa, sino como un llamado proactivo para crear
condiciones que hagan más resistente la empresa frente a las amenazas y riesgos
en el tratamiento de la información.
Todo lo anteriormente
comentado debe estar ajustado a cronogramas, entregables, productos en operación,
resultados e indicadores que permitan reportar a la junta directiva que los
recursos dispuestos para el aseguramiento de la organización en términos de
seguridad y control se están ejecutando de acuerdo con lo previsto y con las
condiciones de aseguramiento que aumenten la capacidad de la empresa para
responder y actuar frente a condiciones inseguras.
Habida cuenta de lo anterior,
cuando sea interrogado sobre los planes articulados y los resultados esperados
de los mismos, recuerde las promesas del umbral de riesgo permitido y aprobado
por la organización, para que sus esfuerzos den respuesta a las expectativas de
la junta directiva, como insumo para construir un colectivo de percepción de
riesgo conocido que requiere atención permanente para avanzar en medio de las
expresiones inesperadas de la inseguridad de la información.
Compararse con otros
El ejercicio de compararse
con otros es saludable en la medida que nos permite conocer prácticas y
experiencias de cosas que no debemos hacer o aquellas que podemos hacer de
manera diferente. Es importante aprender del éxito de los otros, así como sus
lecciones aprendidas.
La complejidad de las
actividades y retos de cada organización en seguridad de la información no es
óbice para que retemos el estado actual de la práctica de la protección de la
información en sus tres componentes: personas, procesos y tecnología. En este
sentido, consultar lo que otros han hecho en situaciones semejantes en su
propia industria, da un parámetro de referencia que nos permite medir que tanto
tenemos y cuanto esfuerzo y madurez se requiere para llegar a un nivel
equivalente.
Una forma de indagar en el
ejercicio de la práctica de seguridad de la información con otra organización
se manifiestas frente a las exigencias de cumplimiento normativo tanto nacional
como internacional. Estos es, cómo se han comprometido para movilizar las
prácticas de protección de la información desde el cambio de comportamiento de
las personas frente a los datos hasta las inversiones requeridas frente a
tecnologías modernas de aseguramiento que mantengan una vista actualizada de la
realidad de la seguridad en la empresa.
En consecuencia, no es
opcional para el ejecutivo de seguridad de la información efectuar estudios de
referenciación permanentes frente a su práctica, para retar su gestión y
gobierno de la seguridad de la información, para comprender que tanto se ha
movido la brecha de la protección en función de las buenas prácticas
internacionales y de las motivaciones de la inseguridad, que se esconde en
sitios inesperados e inexplorados en la práctica empresarial.
Para lograr un ejercicio
efectivo de comparación entre compañías se requiere bien un tercero de
confianza que vincule a los participantes o acuerdos entre empresas que creen
el ambiente de confianza requerido para compartir lo bueno, lo malo y lo feo de
cada uno de ellos, con el fin de establecer un escenario de aprendizaje mutuo y
asistencia grupal que permita el surgimiento de capacidades y habilidades
complementarias en cada empresa, como fruto de la apertura para revelar aquello
del cual no sabemos.
Por tanto, cuando se te exija
abrirte a la comparación y referenciación con un tercero de la práctica de
seguridad de la información, no olvides que la humildad y apertura para
aprender son las dos condiciones necesarias y suficientes para encontrarnos con
las realidades de nuestra práctica y explorar nuevas posibilidades frente a
referentes de cumplimiento inexplorados y reconocimiento de los mismos no solo
como reglas a cumplir sino como comportamientos para incorporar en el ejercicio
de proteger la información.
La brecha actual y la situación ideal
Casi que la pregunta en este
contexto es cuál es la madurez que tiene la función de seguridad de la
información de la empresa. Un interrogante que a la fecha no tiene una
respuesta concreta toda vez que modelos referentes y prácticas internacionales
no reportan indicaciones concretas que permitan establecer una sugerencia
particular para seguir.
Los modelos de madurez que se
tienen a la fecha se basan en estados muy definidos y concretos que suponen una
correlación de variables internas, lo cual no es del todo exacto, pues algunas
variables que se dicen influir para lograr el nivel, no siempre motivan los
cambios requeridos en el nivel concreto. Esto es, que los modelos de madurez
requieren una revisión sistémica de sus variables y encontrar las relaciones
más relevantes para construir una vista más ajustada a la realidad que se
quiere validar.
Así las cosas, los modelos de
madurez en seguridad de la información, son más comparaciones de prácticas
referentes que pueden sugerir un estadio de evolución más que de madurez.
Mientras el concepto de evolución está asociado a la forma como un objeto se
transforma de una condición a otra, la madurez, nos habla sobre la forma como
un ser supera etapas de desarrollo y crecimiento para ver el mundo en
perspectiva, con criterio para actuar, más que con teorías para aplicar.
La brecha de la que hablamos
en este aparte, se establece desde el referente de los negocios, como una forma
aterrizada para conocer de aquellos eventos que han sido detectados en el
ejercicio de la función de seguridad de la información. Es decir, las
manifestaciones de la inseguridad de la información en los negocios, presentan
la manera como la organización entiende la brecha de seguridad, no como
responsabilidad del ejecutivo de seguridad de la información, sino como aspecto
relevante en el desarrollo de sus prácticas de operación para materializar los
resultados corporativos.
Cuando no tenemos clara la
brecha frente al ideal que queremos en seguridad de la información en la
empresa, desconocemos el apetito al riesgo que la empresa maneja y por tanto,
damos oportunidad para que la inseguridad de la información tenga mayor margen de
operación. Por tanto, se hace más dispendioso poder identificar las iniciativas
más relevantes para el negocio y por tanto, priorizar los esfuerzos que alineen
sus expectativas con el escenario de riesgos y amenazas emergentes de su sector
de industria.
En consecuencia, cuando le
pregunten cuál es su brecha frente al ideal de seguridad de la información que
quiere la empresa, busque referentes en su industria y aterrice la experiencia
de los mismos en la dinámica de su empresa, no solo recabando los eventos
relevantes para su ejercicio de comparación, sino explorando el apetito al
riesgo propio de sus ejecutivos de primer nivel, para recorrer los pasos de
junta directiva frente a la dinámica empresarial y su impacto en el gobierno de
la seguridad de la información.
Entender las potenciales consecuencias
De manera complementaria a la
sección anterior, se busca comprender las consecuencias de los escenarios
planteados frente a las brechas de seguridad de la información que se tienen.
No podemos modelar los riesgos y sus posibles efectos, sin contar con el
conocimiento y experimentación que permita simular los impactos que se pueden
tener.
Tener un conjunto de
escenarios y variables básicas de operación, permite a las personas
involucradas establecer un juego básico de “qué pasaría si”, para motivar las
reflexiones necesarias para indicar la forma de actuar frente a situaciones que
se pueden presentar. Este tipo de ejercicios permiten a los ejecutivos de
primer nivel, hablar en lenguaje de negocios frente a la materialización de la
falla, generando el insumo requerido en el área de seguridad para ilustrar sus
análisis de las tendencias.
En este sentido, las
caracterizaciones de los escenarios de riesgo y amenaza dimensionar los resultados
de su materialización con ideas cercanas a los retos del negocio o pérdidas en
las operaciones del mismo, como pueden ser “barriles derramados”, “producto
defectuosos”, “defectos de calidad”, los cuales transmiten un mensaje de acción
requerida que sintoniza sus reflexiones con los de los miembros de la junta.
En consecuencia, la
materialización de riesgos como el de pérdida y/o fuga de información, deberían
poderse expresar en términos de eventos relevantes para la industria a la cual
pertenece la organización, en números significativos que sean presentados en el
primer nivel de la empresa o en situaciones propias de su sector que atiendan
las normas de reporte particulares que la empresa tiene para advertir su
posición en su mercado relevante.
No podemos sobredimensionar
el ejercicio de consecuencias so pena de desdibujar la realidad que podemos observar
y percibir de los análisis realizados. Para ello, las prácticas
internacionales, sugieren mantener un inventario de eventos conocidos y
detallados, que sirvan como referente base para construir escenarios creíbles y
manejables, sin perjuicio que se incorporen situaciones inesperadas o que no
hayan ocurrido, que balanceen las expectativas de los participantes y mantengan
monitoreada la “falsa sensación de seguridad”. (CANO 2013)
En virtud de lo expuesto, el
ejecutivo de seguridad de la información deberá estar bien documentado y
alimentado de las expectativas de su sector de negocio, para reconstruir cada
vez su modelo de riesgos y amenazas emergentes, para simular los impactos de
las materialización de los mismos, para indagar sobre las consecuencias que
puede tener para el negocio, no sólo en el presente sino en el futuro.
Recuerde que cuando se le
pida conocer las consecuencias potenciales de las brechas que se tienen en la
función de seguridad, no es bueno presentar una expectativa sobredimensionada
de los impacto, ni crear una ansiedad por sobrecarga de futuro. Más bien aterrice
las expectativas del primer ejecutivo en declaraciones de impacto que
consideren sus intereses políticos y movilicen sus agendas para incorporar a la
información como un activo que tiene voz y voto en las revisiones estratégicas
de la empresa.
Reflexiones finales
Responder a las inquietudes
de la junta directiva sobre el nivel de vulnerabilidad o exposición frente a la
inseguridad de la información, requiere cambiar el discurso de miedo,
incertidumbre y dudas, por el de hechos, observaciones, anécdotas y metáforas
en el contexto de la industria o prácticas de empresas semejantes. (ROSE 2013)
En este sentido, la presentación
que espera la junta de un oficial ejecutivo de seguridad de la información es
poner un sitio común las condiciones y retos empresariales donde la información
se advierte como soporte de los mismos, para sí encontrar desde las reflexiones
de estos ejecutivos puntos de encuentro y recomendaciones que vayan
directamente a alimentar la base del riesgo residual que ha aceptado la
compañía.
No es posible que un
ejecutivo de seguridad de la información llegue a las puertas de la junta
directiva sin un propósito específico. No es solamente presentar el estado de
una gestión realizada, sino imprimir un mensaje en el colectivo de gerentes
ejecutivos, para motivar reflexiones que reten la estrategia de seguridad de la
información empresarial, más allá del efecto natural de mitigar los riesgos y
amenazas emergentes identificadas.
En este sentido, bien anota Álvarez-Marañón,
que en el contexto de una presentación, “(…) A los asistentes no les importa cuánto sabes hasta que no saben cuánto
te importan. (…)” por tanto, es necesario explorar con detalle y
profundidad el perfil de los miembros de junta al menos tres dimensiones:
·
Actitudes
o
¿Por qué están aquí?
o
¿Cuál es su
postura ante el tema?
o
¿Cómo podrían
resistirse?
·
Demografía
o
¿Cuánto son?
¿Quiénes son?
o
¿Qué saben sobre
el tema?
o
¿Cómo puedo
llegarles mejor?
·
Necesidades
o
¿Cuáles son sus
inquietudes?
o
¿Cómo puedo
solucionar su problema?
En síntesis, todos los
esfuerzos que se adelanten para descifrar la dinámica del cuerpo colegiado de ejecutivos
de primer nivel, serán estériles si el responsables de la seguridad de la
información no tiene claro el mensaje que quiere transmitir y es capaz de
encontrar la frecuencia empresarial donde se enmarca la inteligencia colectiva
directiva, es decir, ese espacio en blanco en el cual los cambios ocurren y se dan
respuesta a las inquietudes y necesidades de la empresa.
Referencias
ROSE, A. (2013) The CISO Handbook. Presenting to the Board. Forrester Research.
ÁLVAREZ-MARAÑON, G. (2012) El arte de presentar. Cómo planificar, estructurar,
diseñar y exponer presentaciones. Gestión 2000.
CANO, J. (2013) Inseguridad de la información. Una visión
estratégica. Alfaomega.
MONTAÑES DUATO, P. (2003) Inteligencia política. El poder creador en
las organizaciones. Prentice Hall.
HEATH, C. y HEATH, D. (2011) Ideas que pegan. Por qué unas ideas
sobreviven y otras mueren. Editorial LID.
No hay comentarios:
Publicar un comentario