domingo, 27 de septiembre de 2015

El CIO y el CISO. Tensiones emergentes en un ecosistema social y digital

Introducción
Durante estos días son muchas las noticias que manifiestan la inestabilidad constante de las medidas de seguridad y control que están disponibles en las organizaciones. Se habla de fallas reiteradas sobre tecnologías de nueva generación, de malas prácticas de protección de la información y sobre manera, las repetidas quejas de la alta gerencia sobre el nivel de aseguramiento disponible en la organización (TrendMicro, 2015).

Pareciera que la inevitabilidad de la falla se anticipara todo el tiempo a los mejores pronósticos de los analistas de seguridad de la información, que no hubiese margen de acción para enfrentar los retos de las vulnerabilidades y que el ejecutivo de seguridad estuviese condenado a ser el “reo” que se convoca cuando un incidente ocurre en la organización.

Esta situación, muchas veces contradictoria, establece una realidad contraria a los esfuerzos de la función de protección y aseguramiento que se desarrolla en una empresa, una dinámica que recaba en la esencia de los imaginarios de las personas, para comprender y transformar la forma como se proteger la información clave de una corporación. Si bien las medidas tecnológicas disponibles permiten cerrar los espacios de actuación no deseados a los clientes, estos igualmente reclaman momentos de flexibilidad para consensuar sus necesidades con las naturales y requeridas medidas de protección.

Frente a esta situación, el CIO privilegia la vista del negocio, donde la agilidad y el acceso deben ser la norma (Axon, Friedman y Jordan, 2015), mientras el CISO, comprendiendo las exigencias de las áreas, busca conciliar las necesidades de seguridad y control, con el sondeo de oportunidad y diferenciación que se requiere para cautivar y motivar al cliente (Deloitte, 2015). Estas vistas contrapuestas, manifiestan intereses y prioridades, que inicialmente resultan incompatibles, pero que leídas en función del ecosistema digital donde opera, revelan relaciones complementarias que pueden ser ocasión de armonía ante la inevitabilidad de la falla.

Cuando la condición de “ser digital” (Dörner y Edelman, 2015) surge en medio de la dinámica de los negocios, la seguridad de la información y la ciber seguridad, deben atender las realidades emergentes que se hacen manifiestas por las interacciones internas y externas que exhiben las organizaciones. El CIO y el CISO no pueden negar la existencia de riesgos más elaborados e impactos poco conocidos, que si bien, deben ser analizados y tomados de forma inteligente, también deben ser mitigados o asumidos cuando sea el momento y el tiempo.

Tensiones entre el CIO y el CISO
La inevitable confrontación entre CIO y CISO, por entregar lo mejor de sus habilidades e ideas para la organización, debe consultar la realidad de la tecnología, que de acuerdo con recientes estudios: (Moschella, 2015)
  • Se está desacelerando. Tecnologías como el internet de las cosas (IoT), relojes inteligentes e impresoras 3D, se están adoptando más lentamente que otras en el pasado.
  • Es menos disruptiva. Las grandes disrupciones actuales están articuladas con el internet y la web. La movilidad y el IoT han sido más tendencias sostenidas que desestabilizadoras de las industrias. Es probable que propuestas recientes como las gafas de realidad virtual y los drones, pueda en el mediano plazo plantear un nuevo escenario de cambios que afecte dramáticamente las prácticas de las diferentes industrias.
  • No está cambiando la sociedad como antes. La introducción de tecnología en la última década modificó muchos de los comportamientos y negocios disponibles a nivel de los países. Si bien, los nuevos desarrollos tecnológicos pueden crear condiciones diferenciales pronto, la absorción de los mismos por la sociedad, las industrias y las empresas debe transformar prácticas existentes para lanzarse a repensar y leer la realidad en un ecosistema digital.

Si lo anterior es correcto, se está entrando en una meseta de estabilidad tecnológica que debe dar tiempo para avanzar tanto en la necesidades de los negocios, como en las condiciones de seguridad y control que sean del caso, y así  dar cuenta de las exigencias de los clientes frente al tratamiento de la información, así como de las expectativas de los reguladores nacionales e internacionales sobre el ejercicio de ser garante de los derechos y libertades individuales en una sociedad hiperconectada.

El CIO está experimentando a la fecha la tensión de una nueva figura denominada CDO- Chief Digital Officer (Westerman, 2013; Hughes, 2015), una nueva especie de ejecutivo de la tecnología de información, más orientado por la dinámica digital de los negocios, que por la gestión de la tecnología de información en sí misma. En este contexto, el CIO tiene la presión de modificar sus prácticas y condiciones de operación para establecer más que un plan estratégico, una estrategia digital que consolide productos, servicios y contenidos que capturen el mayor valor de su ecosistema y así ubicar a la organización como referente digital para mercados emergentes.

Frente a lo anterior, el CISO tiene al menos dos retos. Uno derivado de su posición organizacional y la necesidad de pasar de ser reconocido como un referente técnico y guardián del programa de seguridad de la información, a ser estratega y asesor que orienta y recomienda la mejor forma de asumir los riesgos emergentes de manera inteligente (Deloitte, 2015).

Por otro lado, el reto de los nuevos pobladores de las organizaciones, que entienden la vida interconectada y compartiendo información. Una nueva raza de individuos que basan sus comportamientos en la práctica de estar conectados y construyendo en comunidad. Unos jóvenes emprendedores que encuentran en las empresas no una forma de obtener un salario, sino una forma de construir y desarrollar sus capacidades. Se resisten a mantener el statu quo y cuestionan las “reglas” de las empresas, desde la esencia de lo que hacen, hasta la forma como se dice proteger la información (Gutiérrez- Rubí, 2014).

Dos vistas de la misma problemática, enfrentan a estos dos cargos por la creación de valor para la empresa. Entendiendo esto último como la dinámica de las relaciones sociales donde están inmersos, para ser reconocidos por los actores del ecosistema social donde actúan y así recibir en contrapartida la energía necesaria para seguir funcionando y evolucionando (Krupatini, 2011, p.86). Superar las prácticas virtuosas de cada uno, es ampliar el campo de las tensiones entre los dos mundos; no hacerlo es condenarlas a la inercia que desgasta sus discursos y disminuye su credibilidad.

Si ambos cargos quieren salir de la lectura operativa, es decir que el área de tecnología es un centro de costo, y por otro lado, que la seguridad de la información es una función que limita las oportunidades de negocio, los dos cargos deben trabajar de manera conjunta compartiendo una vista enriquecida del negocio, que encuentre en el ecosistema digital que la contiene, razones y nuevas propuestas que anticipen los riesgos (y ciber riesgos (Jones, 2015)) para ganar nuevos espacios competitivos en diferentes contextos y sectores.

Lo anterior supone reconocer los nuevos actores del entorno, percibir el nivel de importancia que la organización le asigna a los mismos, comprender las respuestas actuales de las comunidades en internet y establecer una combinación de cooperación y competencia, de desarrollo y fortalecimiento en un espacio común donde tanto actores como organizaciones coinciden para crear respuestas a los efectos evolutivos de un ecosistema, cuyas relaciones cumplen la ley de Asbhy de variedad requerida, esto es, “sólo variedad, destruye variedad” (Krupatini, 2011, p.127-128).

Reflexiones finales
El futuro digital de las empresas demanda una lectura diferente de los escenarios actuales de los negocios. Ser digital no es saber usar las tecnologías para hacer la diferencia, es hacer la diferencia apropiándose de las oportunidades del ecosistema tecnológico disponible, o mejor aún crear una visión inédita que cambie las prácticas de la sociedad actual.

En este sentido, tanto el CIO como el CISO enfrentan un cambio de paradigma, no solo en sus prácticas, sino en la forma de comprender su entorno. Lo anterior implica repensar las prácticas y modelos estáticos basados en precedencias de procesos y cumplimiento de controles, por reconocimiento de relaciones y modelos dinámicos que revelan propiedades emergentes y movimientos inesperados que ponen a prueba tanto la innovación con tecnología, como la protección en función de las prácticas.

En un ecosistema digital no es el control de acceso la estrategia fundamental de la seguridad, sino el control de uso. Esto es, la información por su carácter dinámico va a estar disponible se quiera o no, lo que hay que tener en cuenta es cómo se va a usar de manera responsable para posibilitar nuevas opciones de negocio e igualmente cómo se va filtrar para evitar que se comprometa la oportunidad que se ha creado.

Un ecosistema digital no es una puerta al “libertinaje de la seguridad”, sino un filtro de aseguramiento que entiende la información y sus contenidos, como la fuente de la construcción de confianza y la formalización del relacionamiento confiable. Lo anterior supone una lectura de la seguridad de la información como un ejercicio de protección trascendente que no es otro sino aquel que se manifiesta en cómo “mis acciones” benefician a otros.

Las disrupciones tecnológicas, si bien han disminuido, no es así con el flujo de información disponible. El precio de la conectividad es el costo que se asume por capturar, consumir, reproducir y utilizar la información. Si bien las organizaciones consideran la información como activo clave para sobrevivir, sus prácticas de seguridad y control no se encuentran del todo aseguradas y sus consecuencias se advierten en noticias internacionales donde el riesgo de pérdida y/o fuga de información es la materialización más frecuente.

Si antes entendíamos el malware, el spear phishing, el ciber espionaje, las botnets, la negación del servicio como riesgos claves para la operación, establecer referentes de ciber riesgos sobre las realidades del futuro es darle a las comunidades en internet el protagonismo clave, no sólo para seguirlas y aprender con ellas, sino para anticipar tendencias inherentes a las relaciones que se planteen al interior de las mismas.

Ignorar que tenemos realidades emergentes tejidas en el relacionamiento informático de la red, que somos parte de las preguntas y respuestas sobre el ecosistema digital, es negarnos la oportunidad de anticipar y cultivar un escenario con riesgos conocidos, latentes, focales y emergentes (Cano, 2014) que describan la dinámica de la organización en medio de su entorno.  

Así las cosas, no es con más tecnologías de información o de seguridad y control como las prácticas de aseguramiento y el compartir información se van a consolidar, sino con una lectura sistémica de la realidad de la empresa y sus condiciones emergentes, que cambien los modelos mentales vigentes en la actualidad tanto del CIO como del CISO, para que den cuenta de las transformaciones requeridas en las personas y en la sociedad de la información desde la inevitabilidad de la falla y la protección del valor de la información.

Referencias
Axon, L., Friedman, E. y Jordan, K. (2015) Leading now: Critical capabilities for a complex World. Corporate learning. Harvard Business Publishing. Recuperado de: http://www.harvardbusiness.org/leading-now-critical-capabilities-complex-world
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Everyone wants to go digital. The first step is truly understanding what that is. Mckinsey Quarterly. Recuperado de: http://www.mckinsey.com/insights/high_tech_telecoms_internet/what_digital_really_means
Gutiérrez- Rubí, A. (2014) 6 rasgos clave de los millennials, los nuevos consumidores. Forbes México. Recuperado de: http://www.forbes.com.mx/6-rasgos-clave-de-los-millennials-los-nuevos-consumidores/
Hughes, P. (2015) The rise of the Chief Digital Officer. Key considerations for driving digital growth from the C-suite. Deloitte Canada. Recuperado de: http://www.deloittedigital.ca/chief-digital-officer
Jones, J. (2015) 5 Questions Boards and the C-Suite Should Be Asking About Cyberrisk. Risk Management. Monitor. Recuperado de: http://www.riskmanagementmonitor.com/5-questions-boards-and-the-c-suite-should-be-asking-about-cyberrisk/
Krupatini, S. (2011) Y ahora qué hacemos ante la complejidad. Buenos Aires, Argentina: Gránica.
TrendMicro (2015) A Rising Tide: New Hacks Threaten Public Technologies. Recuperado de: http://www.trendmicro.co.nz/vinfo/nz/security/research-and-analysis/threat-reports/roundup
Westerman, G. (2013) Should Your CIO Be Chief Digital Officer? Recuperado de: https://hbr.org/2013/08/should-your-cio-be-chief-digit/

No hay comentarios:

Publicar un comentario