domingo, 12 de agosto de 2012

El futuro de la inseguridad de la información: El arte de imaginar lo inesperado


Revisando un reciente informe de Forrester Research denominado “Navigate the future of the security organization”, se advierten consideraciones importantes que nos alertan sobre el futuro de la función de seguridad de la información, un futuro que dependerá del entendimiento de la inevitabilidad de la falla en el análisis y diagnóstico de la inseguridad de la información en el contexto de las metas grandes y ambiciosas de las empresas.

El informe anota que “los negocios continúan viendo la seguridad de la información como un policía y custodio paranoico que es una barrera para progresar e innovar”, declaración que bien puede incomodar a más de un responsable de la seguridad de la información, sin embargo, leída en clave de crítica constructiva, revela un sentimiento propio del negocio y un reclamo de la organización para el área de seguridad, para entender que se hace necesario movilizarse y transformar la organización para potenciar las capacidades empresariales en su sector de negocio y desequilibrar el entorno a su favor.

El reporte anota que la situación anterior se presenta pues los ejecutivos de seguridad de la información no logran demostrar cómo:
  • Los costos operacionales e inversiones soportan las actividades de negocio
  • Gestionar o mantener el ritmo de la demanda empresarial
  • Centrarse en la innovación empresarial
Revisando cada uno de estos aspectos, el responsable de seguridad la información debe hacer una lectura de la seguridad en función de la esencia del negocio de la empresa, esto es, qué significa la seguridad de la información para el negocio y cómo esta permite su transformación en un contexto abierto, asimétrico y altamente dinámico.

Frente a los costos e inversiones, la seguridad de la información debe asistirse de la visión de riesgos, que le permite saber cómo sus esfuerzos mitigan o permiten a la organización “proteger el valor de sus negocios”, soportado en las prácticas de seguridad de la información corporativas, la custodia y aseguramiento de sus activos de información, y el cuidado de la reputación empresarial, que es visible y tangible a través de todos sus grupos de interés.

Cuando se trata de la demanda empresarial, el ejecutivo de seguridad debe comprender los planes empresariales y actuar desde sus inicios para “asegurar el valor de las iniciativas” que permitan integrar la seguridad de la información como una distinción estratégica y táctica, que le permite a los negocios mantenerse activos frente a los riesgos y políticamente alertas frente a los impactos que una falla puede ocasionar y sus efectos frente a la junta directiva.

La innovación empresarial está fuertemente asociada con el uso de tecnologías y gestión de la información. En este contexto, la seguridad de la información debe comprender las exigencias de una operación en un escenario móvil, de flujo de información y mensajes instantáneos, para que el negocio funcione de manera confiable, protegiendo el tránsito de la información y asegurando las prácticas de seguridad en cada uno de los participantes de empresa.

De otra parte el estudio, establece que el área de seguridad de la información se encuentra en una encrucijada entre un panorama altamente cargado de vulnerabilidades y la asimetrías de sus efectos y, la exigencia de nuevos controles frente a los nuevos retos tecnológicos, lo cual le impide configurar o establecer con claridad una visión atractiva del futuro del tema para la empresa. En este sentido, el ejecutivo de seguridad se ve forzado a:
  • Explicar porque las soluciones previas no son efectivas
  • Solicitar presupuesto para tratar los nuevos riesgos emergentes
  • Ser el portador de malas noticias
 Como custodio y de alguna forma garante[1] de la seguridad de la información debe mantener un monitoreo proactivo sobre los controles existentes para verificar su efectividad y la relevancia de los mismos frente a los niveles de riesgo aceptado por la función de negocio. En este sentido, fiel a su posición de garante debe ser responsable de mantener un nivel de exposición aceptable de la organización y declarar las no conformidades identificadas frente a la inevitabilidad de la falla.

Lo anterior, no necesariamente requiere ajustes presupuestales, los cuales de requerirse deberán ajustarse a la lectura existente del riesgo, habida cuenta que los controles vigentes generan un umbral de protección aceptable frente a las amenazas propias del proceso de negocio. Si luego de una evaluación de vulnerabilidades se advierte un cambio importante en la percepción del riesgo y los cambios empresariales revelan nuevas fuentes de amenaza, se hace necesario establecer los recursos requeridos que nuevamente ajusten los niveles de exposición a lectura aceptables por los dueños de los procesos.

No es sano que el responsable de la seguridad de la información sea observado como “el ave de mal agüero”, como esa persona que nadie espera se aparezca en su puerta. Esta vista oscura y tenebrosa, claramente fundada en la lectura de los incidentes, no puede ser la única carta de presentación del área de seguridad. Se hace necesario, establecer reportes de aseguramiento y avance en el cierre de brechas de seguridad frente a la información y malos hábitos empresariales, manteniendo “el mínimo de paranoia bien administrado” para mantener distanciada la falsa sensación de seguridad.

Seguidamente la investigación de Forrester detalla algunos de los elementos que limitan al Chief Information Security Officer – CISO para salir de su percepción técnica y operacional que soporta a la organización bien en soluciones ajustadas a su realidad, así como primera línea de respuesta frente a la materialización de incidentes de seguridad:
  • Falta de experiencia frente a las juntas directivas
  • Bajo respeto e influencia en las unidades de negocio
  • Limitada perspicacia financiera y de negocio
  • Limitada capacidad para adquirir el talento que necesita
Esto cuatro elementos delinean el programa del renovado ejecutivo de seguridad de la información. Lograr revertir los efectos de estas declaraciones en la gestión de seguridad, es ensanchar la caja de herramientas de los profesionales de seguridad, de tal forma que entiendan la seguridad de la información como un negocio, para que su lenguaje, capacidad de influencia, solvencia financiera y de negocio, actúen a favor suyo, para luego explorar en el mercado interno y externo los profesionales que compartan el sueño que dicho profesional tiene frente a la seguridad en la empresa.

Como respuesta a estos retos el informe plantea la transformación del cargo de CISO por el de de CBSO – Chief Business Security Officer, los cuales encarnan una nueva raza de ejecutivos de la seguridad que fundados en un desarrollo de habilidades de negocio y de consultoría, son capaces de transformar la vista eminentemente de cumplimiento y control, en una que permita leer los objetivos de negocio en clave empresarial y anticipar las acciones que aseguren la generación sostenible de valor de la corporación.

En consecuencia con lo anterior, los analistas de Forrester detallan el siguiente cuadro:


CISO
CBSO
Mentalidad
Ejecución operacional, seguridad absoluta

Estrategia, mitigación de riesgos

Reputación
Tecnólogo, proveedor de miedo, incertidumbre y dudas
Colega confiable, consultor interno
Aproximación
Reactivo, seguridad focalizada
Proactivo, seguridad embebida
Foco
Tecnologías de seguridad y productos puntuales
Arquitectura, procesos y analítica
Entrega de valor
Operaciones, selección de tecnología, eficiencia
Habilitador de negocios, mitigación de riesgos
Próximo trabajo
CISO, Vicepresidente de operaciones
Chief Information Officer
Tomado de: Forrester Research.

El perfil detallado en el cuadro anterior nos permite observar un ejecutivo de seguridad que es capaz de tomar decisiones impopulares y firmes frente a la asignación y priorización de su presupuesto, que busca oportunidades estratégicas y políticamente correctas para habilitar los negocios empresariales y sus procesos frente a los movimientos y tendencias tecnológicas emergentes, que comprende, analiza y diagnostica las exigencias de seguridad y control en el contexto de la complejidad de los negocios, buscando alternativas que se ajusten a la cultura empresarial y aseguren, al mismo tiempo, las relaciones corporativas frente a sus grupos de interés.

Este nuevo profesional de la seguridad de la información que requieren las organizaciones, debe sintonizarse política y estratégicamente con los negocios empresariales. Esto es conocer en detalle los procesos críticos de la empresa, detallar y analizar el modelo de generación de valor de la compañía y sobre manera, articular el modelo de negocio de la función de seguridad de la información, con las metas de empresa, más allá de los reportes naturales de sus indicadores, fundando un modelo de visión anticipada de la realidad que proteja el valor actual de la organización y sugiera elementos que sumen a las propuestas desequilibrantes que la junta visualice en el mediano y corto plazo.

La pregunta que surge en este momento es ¿cómo iniciamos la transición hacia este nuevo reto? La respuesta tiene muchas variantes y explicaciones, pero en el fondo estas exigencias requieren la habilidad de hacer evidente la inseguridad de la información en las relaciones entre personas, tecnologías y procesos, no como un “proveedor de miedo, incertidumbre y dudas”, sino como un “generador de escenarios emergentes de análisis” de riesgos positivos y negativos, que procuren vistas renovadas del negocio, que refresquen los conocimientos del mercado y permitan acciones diferenciadoras en el mismo.

Así las cosas, nuestro CISO debe saber que su papel empresarial, si bien es reconocido y validado por el alto gobierno corporativo, la dinámica de los negocios, los mercados y la tecnología demandan una transformación fundamental, que no busca abandonar las competencias técnicas propias de su formación, sino balancear dichas competencias con el lenguaje del negocio, las cifras de su operación, y lo más importante, con la lectura y pensamiento estratégico de la empresa.

Habida cuenta de lo anterior, el CBSO tendrá el reto de reconstruir la función de seguridad de la información desde la perspectiva de la generación de valor, es decir, desde el conocimiento y estudio de las capacidades de la empresa, para iniciar la revolución requerida en la práctica de la protección de la información actual que pase de:

HOY
FUTURO
Una vista de productos y servicios

Una vista de escenarios y amenazas emergentes

Una vista de riesgos y cumplimiento
Una vista de innovación y creatividad confiable
Una vista centrada en los costos y riesgos
Una vista centrada beneficios y oportunidades
Una cultura basada en incidentes
Una cultura basada en lecciones aprendidas
Una postura reactiva y mitigar lo que sucede
Una postura que se anticipe e imagine lo que puede hacer que suceda
Una postura de analizar las tendencias
Una postura de reconocer patrones

Dice Hamel que: “las compañías no pueden crear el futuro, no porque no lo prevean sino porque no lo pueden imaginar”, si esto cierto, los profesionales de seguridad de la información deben comenzar a configurar ese futuro que les demanda ampliar su espectro de formación; a ver diferente, para ser diferente; es decir entender “la diferencia entre lo futuro y lo imaginado, entre saber lo que viene e imaginar lo que vendrá” como anota el académico.

Pues sólo así será posible poner atención a las asimetrías de la inseguridad y las condiciones desequilibrantes de los mercados, para poder ver dónde está ocurriendo lo que será el futuro de la organización y así distinguir las oportunidades que permitan construir una nueva experiencia, un nuevo comienzo donde la inevitabilidad de la falla contraponga a “aquellos que han sido sorprendidos por el futuro” con “aquellos que han podido anticiparse al futuro”.

Referencias
HAMEL, G. (2000) Liderando la revolución. Ed. Norma
BALAOURAS, S. y ROSE, A. (2012) Navigate the future of the security organization. Forrester Research.



[1] “Posición de garante es la situación en que se halla una persona, en virtud de la cual tiene el deber jurídico concreto de obrar para impedir que se produzca un resultado típico que es evitable. (…)” Tomado de: http://gavillan5.blogspot.com/2006/08/posicion-de-garante.html

2 comentarios:

  1. La inseguridad de la información se encuentra en constante evolución. Y parte de esta evolución es la capacidad de auto evaluarse y de generar acciones que permitan dejar atrás los hábitos que no le son adecuados. Se confirma en el estudio lo que desde nuestra óptica de seguridad ya teníamos vislumbrado: nos ven y perciben como la piedra en el zapato, el “Dr. No”, el área dentro de la organización que reacciona ante los acontecimientos o el área que pone las trabas a los procesos. Por ello la nueva “raza” de CSOs debe poder acercase mas al negocio, hablar el lenguaje del negocio, tener la capacidad de interactuar con la junta directiva; expresare en un lenguaje sencillo y claro, sin olvidarse de la parte técnica. Estamos ante una transformación del área de seguridad de la información, la cual nos llevará inevitablemente a verla como ahora vemos la de IT: la permanente búsqueda del valor agregado que el área de seguridad entregue al negocio. ¿Un “ITIL” en seguridad?

    ResponderEliminar
  2. Saludos!
    Me gustaría hacerte llegar información sobre ISACA y la edición 2012 de la la Conferencia Latinoamericana de Auditoría, Control y Seguridad (CACS) y la Conferencia Latinoamericana de Seguridad de la Información y Administración del Riesgo (ISRM).

    Te agradeceré me hagas llegar tus datos a albertob@keepengaged.mx

    Saludos!

    ResponderEliminar