sábado, 2 de enero de 2016

Cinco lecciones por aprender en seguridad y control. Un marco de acción transdisciplinar desde la inevitabilidad de la falla.

Introducción
Generalmente cuando se termina un periodo de labores las personas y/o organizaciones hablan de las lecciones aprendidas, de los aprendizajes y desaprendizajes que se tuvieron, los cuales resultan muy valiosos frente a la práctica que se ha venido desarrollando en las empresas. Este ejercicio permite ver en perspectiva lo que ha ocurrido para reconectar aquello que se viene haciendo con la renovada forma de ver las cosas desde aquello que se ha aprendido.

Las lecciones aprendidas conectan los momentos donde se suspendió la realidad, con los referentes teóricos vigentes hasta ese instante, para repensar lo que se creía que era de esa manera con una forma alterna de ver el mundo. Una lección aprendida es una ventana de oportunidad para desarrollar formas diferentes de hacer las cosas y crear condiciones distintas para aquellos que saben que el mundo cambia y continúa cambiando todos los días.

Las lecciones aprendidas (Ifad, ?) son un insumo para los nuevos proyectos, el espejo retrovisor que permite observar aquello que ha ocurrido, reconocer lo que se hizo bien y lo que no salió tan bien, para establecer referentes concretos que nos ilustren aspectos renovados de la experiencia que promuevan alcances diferentes a los que se tenían en el pasado. Sin perjuicio de lo anterior y de las nuevas posibilidades que se han abierto luego de lo aprendido, es clave comenzar a visualizar lo que se denominan las “lecciones por aprender”.

Una lección por aprender es una expectativa para anticipar un escenario, que puede o no ser disruptivo (Johnson, 2011), pues establece un referente de futuro que la persona u empresa debe considerar para avanzar y anticipar acciones que debe asumir para concretar nuevos aprendizajes, los cuales serán relevantes para concretar aquello que quieren alcanzar en un momento próximo. En este sentido, no solamente son importantes las lecciones aprendidas en seguridad de la información, sino aquellas que tenemos por aprender.

Las lecciones por aprender en seguridad de la información nos informan de aquello que se advierte “adelante de la curva”, de las posibilidades que se deben anticipar para concretar acciones antes que la inevitabilidad de la falla haga presencia, y que aún se manifieste, se pueda tener margen de acción y propuestas alternas que confronten la incertidumbre, el miedo y las dudas que la situación pueda generar.

En este contexto, esta breve reflexión plantea cinco (5) lecciones por aprender en seguridad de la información, que consultando las lecciones aprendidas de las vulnerabilidades y fallas más documentadas y frecuentes, establece un referente base de lo que se avizora en los próximos años que puede cambiar las prácticas de seguridad y control, no sólo en el ámbito técnico, sino el escenario organizacional sobre la protección de la información a nivel de las personas, los procesos, las regulaciones y la tecnología.

Caracterizando las lecciones por aprender
Cuando existen lecciones por aprender, se deben revisar algunos aspectos claves que permiten explorar caminos hacia adelante que, pueden o no, estar a la vista, para concretar acciones que anticipan futuros no previstos o situaciones que debe ser resueltas. Una lección por aprender busca concretar y motivar aprendizajes de manera anticipada, con el fin de canalizar esfuerzos con la suficiente valentía y claridad, para abrir posibilidades de renovación en el presente.

Podemos indicar que una lección por aprender tiene al menos tres elementos fundamentales (que son mutuamente excluyentes):
  • Sugiere una propuesta o alternativa a una problemática que se ha creado o ha estado en el entorno de manera permanente sin variaciones o soluciones estructurales.
  • Identifica y transforma la forma como históricamente se han hecho las cosas en un determinado dominio.
  • Revisa y estudia la realidad desde dominios de conocimiento distintos al que contiene la problemática revisada.

Estos tres elementos contextualizan las actuaciones de aquellos que buscan una lectura no solamente interdisciplinar, sino transdisciplinar (Huerta, Zambrano, Pérez, y Matsui, 2014), donde los límites de las propuestas extraídas del mismo dominio de la problemática, carecen de sentido en el otro. Así las cosas, las lecciones aprendidas conjugan, una perspectiva disciplinar que define la necesidad primaria para revisar, con las diferentes perspectivas y ópticas de análisis que se pueden fundar desde otras disciplinas, como fuente de alternativas retadoras que hacen posible una realidad distinta.

Aquellos que exploran lecciones por aprender deben consultar en el espejo retrovisor las lecciones aprendidas, para establecer los nuevos linderos hacia adelante donde se advierte las posibilidades que están disponibles para quienes han sabido desafiar sus propios paradigmas, y explorar las prácticas históricas de su disciplina, y darse la oportunidad para “surfear” (CNIC, 2013) sobre las novedades, que diferentes lecturas de otros dominios, hacen de la misma realidad.

Establecer las lecciones por aprender en una disciplina particular, demanda conocer muy bien la realidad de la situación problemática, haber experimentado la incertidumbre que ocasiona las inestabilidades que registra la misma y sobre manera haber conocido la contradicción que genera el entorno, donde no solo se compromete los saberes propios de las personas, sino las expectativas y emociones de aquellos que están esperando una respuesta a la inquietud que se genera.

Bajo estos parámetros básicos, se plantean a continuación algunas lecciones por aprender en seguridad de la información que retan o interrogan las prácticas actuales, no para generar cambios inmediatos en la manera de hacer las cosas, sino para establecer horizontes de transformaciones que las personas y organizaciones deben emprender para no ser víctimas de situaciones adversas que se puedan presentar en el futuro, sino actores proactivos que han comprendido con anticipación las inestabilidades que se advierten en un futuro cercano.

Cinco lecciones por aprender en seguridad y control
Estas cinco lecciones establecen un plan referente para desaprender de forma anticipada y crear el entorno necesario para que la realidad se transforme en un proceso de conquista de los paradigmas vigentes en seguridad y control.

Lección No.1 Se debe complementar el control de acceso con el control de uso
La historia de la seguridad de la información se ha fundado sobre el ejercicio de los controles, donde las medidas tecnológicas tienen el protagonismo sobre las prácticas de las personas, delegando la protección de la información en la efectividad de dichas medidas. Esta delegación ha influenciado la práctica de seguridad de la información, dejando por fuera las decisiones que las personas deben tomar y el criterio que deben desarrollar frente al tratamiento de la información.

Así las cosas, el ejercicio que se requiere es articular las técnicas de control de acceso basadas en permisos, perfiles y roles, con el desarrollo de capacidades y criterios para decidir ante situaciones inciertas por parte de las personas. Donde la combinación del control de las tecnologías de control, sean una parte de la dinámica y respuesta ante el contexto donde la persona debe decidir.

Mientras el control de acceso se programa y la lógica de protección es parte inherente de un programa organizacional que exige un cumplimiento de prácticas de control estándar; el control de uso, está asociado con el desarrollo de una competencia de gestión segura de la información (Cano, 2015) que conjuga la apropiación, la concientización y el cumplimiento como fuente misma de las acciones o actividades que las personas deben desarrollar para proteger la información aun cuando no existan un escenario propicio para hacerlo.

Lección No. 2 Se debe complementar el control de acceso: quién, a qué recurso y qué permisos, con la ubicación de quien solicita.
La dinámica del internet de las cosas y la movilidad hacen que el control de acceso tecnológico, aquel que se programa desde las prácticas de la industria se deba renovar. Esta renovación exige que no solamente se requiere conocer el quién, el recurso y sus permisos, sino la ubicación de la persona, ahora en un contexto de movilidad y de ecosistema digital (Harkins, 2013).

Mientras en el pasado el control de acceso estaba asociado con lugares conocidos y dinámicas particulares en sistemas de información, asociado con rutinas de las personas que hacían el tratamiento de la información, ahora en un ecosistema digital donde la movilidad de los actores establece un reto adicional, se hace necesario incluir una nueva variable que compute la ecuación de acceso tradicional y se alinee con la realidad que demanda la dinámica de los negocios actuales.

El nuevo paradigma de control de acceso debe incluir los conceptos tradicionales y extenderlos sobre características de la infraestructura que protege y desde donde se requiere hacer el acceso, como quiera que no hacerlo significa estar aplicando prácticas válidas y probadas, en entornos dinámicos y asimétricos, donde se advierten revisiones distintas, que no solo son propias de los estándares conocidos, sino las requeridas por la dinámica actual.

Lección No. 3 Se debe complementar el retorno de la inversión, con el retorno por inclusión.
Un reto permanente en seguridad de la información es cómo cuantificar la inversión y calcular su retorno. Un diálogo siempre abierto e inconcluso que se tiene con las personas de finanzas. Mientras el de seguridad habla en términos de riesgos y pérdidas, el de finanzas exige propuesta de valor y utilidades. Una conversación en estos dos idiomas irremediablemente no tiene posibilidades de conexión ni apertura en ninguno de los dos lados (Kark, Whiteley III y Viglianti, 2009).

En este sentido, mientras el retorno de la inversión (roi) busca justificar un valor de inversión para registrar y presentar ante la agenda ejecutiva de la organización, el retorno por inclusión (rxin), revela los beneficios alcanzados que se han presentado en la empresa por el desarrollo de prácticas de seguridad y control. Esto es, las historias contadas por los mismos protagonistas, que dan cuenta de una transformación silenciosa que se incluye y conecta con el imaginario de la cultura, donde la junta hace parte de la lectura extendida de la seguridad de la información en su capital político y corporativo.

El retorno por inclusión (rxin) es una apuesta de construcción social que se transmite de manera lateral en la organización y que se conecta con los imaginarios de la cultura (Cano, 2015b), haciendo sentido en las expectativas del primer nivel ejecutivo, no solo con las noticias que se cuentan desde la experiencia de las áreas, sino con la lectura que tercero influyentes pueden hacer sobre los planes del gobierno corporativo. La inclusión no es llevar el tema al cuerpo de gobierno, sino conectarlo con el tono del imaginario de protección del cual ellos hacen parte.

Lección No. 4 Se debe balancear el miedo, la incertidumbre y las dudas, con los hechos, las observaciones, las anécdotas y las metáforas.
La seguridad, no sólo de la información, sino en diferentes dominios se ha vendido desde la antigüedad basado en el miedo, la incertidumbre y las dudas. Los oficiales de seguridad han sido catalogados como “aves del mal agüero” los cuales cuando aparecen no sólo llevan malas noticias, sino panoramas siempre inestables que generan temores y dudas (Rose, 2013).

Algunos ejecutivos de tecnología de información argumentan que esta técnica sigue estando vigente y que ejercicios que motiven este tipo de situaciones permiten que el flujo de inversión sobre la seguridad tecnológica se mantenga. Otros, por tu parte, indican que se debe seguir usando el recurso de las “dudas” en dosis cada vez más pequeñas, para mantener una tensión y expectativas permanente que no agote el tema con los miembros del primer nivel ejecutivo.

Lo que es claro es que se debe lidiar con el “síndrome de la falsa sensación de seguridad”, una enfermedad corporativa que se confía de las pruebas y prácticas que se generan en el contexto de lo tecnológico, para dar un parte de tranquilidad a los ejecutivos de primer nivel. Hacer esto y tener éxito, es abrirle la puerta a una “confianza ilusa” que no pretende indagar sobre lo que realmente ocurre y se queda con una fotografía estática, que no corresponde con la dinámica inherente a la inevitabilidad de la falla.

Lo anterior significa que mientras haya mayores elementos asociados con los hechos, las observaciones, las anécdotas y las metáforas que se puedan articular con los logros en seguridad de la información, se irá creando un imaginario de “paranoia bien administrada” que consultando la dinámica de los riesgos latentes y emergentes, es capaz de hablar de una seguridad y control basada en la gestión, esto es, que sabe que se articula en buenas prácticas y logros concretos, pero que requiere siempre un permanente desaprendizaje.

Lección No. 5 Se debe complementar la visión de riesgos conocidos (feedback) por una visión de riesgos latentes y emergentes (feedforward)
Los psicólogos hablan que no solamente debemos tener el feedback o retroalimentación de lo que hacemos, sino tratar de darle sentido a las indicaciones que dicha información propone. Sin embargo, si nos quedamos allí, estaremos siempre detrás de las noticias y nunca anticipando cambios o transformaciones que se requieren.

En razón con lo anterior, se habla del feedforward, algo como pensar hacia adelante, que nos moviliza y motiva a concretar nuevas prácticas y estrategias para hacer cosas que no se habían hecho antes (Cano, 2014). En seguridad de la información se tiene con frecuencia mucho feedback, de los informes de auditoría, de los logs, de las correlaciones de eventos y de las evaluaciones de terceros que son contratadas dentro del esquema de seguimiento y control de las empresas, pero poco se habla de feedforward.

La postura de feedforward en las prácticas de seguridad y control, demanda una vista renovada de la planeación por escenarios, de los juegos de guerra y sobre manera de la exploración de posibilidades, más que de probabilidades. El feedforward, le indica a las prácticas de protección actuales la necesidad de abordar el nuevo escenario digital que se tiene y lanzarse a construir alternativas diferentes que anticipen problemáticas estructurales que se pueden presentar en los nuevos escenarios.

Construir contexto de feedforward en seguridad de la información es incluir una vista de riesgo extendida (latentes, focales y emergentes) con una propuesta de análisis de escenarios que vincule la reflexión colectiva de los diferentes participantes organizacionales, donde se revelen puntos de inflexión antes ignorados y concretados desde el entendimiento de los procesos por sus propios protagonistas. Los ejercicios de riesgo control de temas conocidos (propios del feedback) deben ser complementados una vista hacia adelante (feedforward) que anticipe y genere escenarios que procuren reflexiones enriquecidas con todos los interesados.

Reflexiones finales
Las lecciones aprendidas que las diferentes publicaciones nos pueden revelar, deben ser parte del insumo de las reflexiones que se deben articular para construir y desarrollar las lecciones por aprender que se han planteado en este documento. Lecciones que, si bien no son definitivas, son propuestas que se construyen desde la lectura de cambios sobresalientes y problemáticas aún sin resolver que permiten abrir espacios de discusión práctica y académica.

Las lecciones por aprender planteadas en este texto, corresponden a una revisión conceptual y ejecutiva que pretende motivar reflexiones distintas que liberen a las organizaciones de su visión de retrovisor en seguridad de la información y promuevan espacios de análisis diferentes que conjuguen una vista posible del tratamiento de la información, con una práctica de probabilidades que actualmente se mantienen en los diferentes escenarios corporativos.

Ganarse un lugar en las ligas de los ejecutivos de primer nivel no es solamente mostrar que el responsable de seguridad es capaz de presentar indicadores y resultados de su gestión, sino que tiene la capacidad de confrontar un imaginario de inversiones y costos, con hechos, metáforas y propuestas que den cuenta de una realidad que afecta los intereses políticos y estratégicos de cada uno de los miembros de la junta.

Así las cosas, las lecciones por aprender consignadas en esta reflexión, deben ser una excusa académica y práctica para promover una vista transdisciplinar (Huerta, Zambrano, Pérez y Matsui, 2014) del tratamiento de la información, para lograr quebrar el imaginario técnico que la seguridad de la información carga desde sus inicios y establecer saberes conjugados desde diferentes miradas administrativas para construir un escenario de discusión donde el único referente sea la información como activo estratégico clave y distintivo de las organizaciones.

Referencias
Cano, J. (2014) Feedback y Feedforward. Blog Frase de la Semana. Recuperdo de: http://frasedelaseman.blogspot.com.co/2014/12/feedback-y-feedforward.html
Cano, J. (2015) Gestión segura de la información. Competencia genérica clave en una sociedad de la información y el conocimiento. Memorias Congreso Internacional de Educación, Tecnología y Ciencia, CIETyC 2015. Universidad de la Guajira, Colombia – Universidad Nacional de San Juan, Argentina. Riohacha, Colombia. Junio 2 al 5
Cano, J. (2015b) Imaginarios sociales. Una herramienta sistémico-social para transformar una cultura organizacional de seguridad de la información. Memorias III Congreso Internacional en temas y problemas de investigación en Educación, Sociedad, Ciencia y Tecnología. Universidad Santo Tomás. Bogotá, Colombia. Septiembre. ISSN No. 2346-2558 (Formato web). Recuperado de: http://bit.ly/1OjMBh6
Consejo Nacional de Innovación para la Competitividad - CNIC (2013) Orientaciones estratégicas. Surfeando hacia el futuro. Chile en el horizonte 2025. Recuperado de: http://www.cnic.cl/images/comunicacionescnic/Orientaciones_Estrategicas/orientaciones_estrategicas.pdf 
Harkins, M. (2013) Managing risk and information security. Protect to enable. Apress Open.
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
Ifad (?) What is a lessons learned. Recuperado de: http://www.ifad.org/evaluation/public_html/eksyst/doc/lle/lle.htm
Johnson, W. (2011) Disrupt yourself. Harvard Business Review. Recuperdo de: https://hbr.org/2011/08/disrupt-yourself/
Kark, K., Whiteley III, R. y Viglianti, A. (2009) Articulating The Business Value of Information Security. Forrester Research.
Rose, A. (2013) The CISO’s Handbook - Presenting to the board. Forrester Research. Forrester Research. Recuperado de: https://www.veracode.com/sites/default/files/Resources/AnalystReports/forrester-ciso-handbook-presenting-to-the-board-compliments-of-veracode-analyst-report.pdf

No hay comentarios:

Publicar un comentario