sábado, 3 de septiembre de 2016

Protección de la información. Un ejercicio de confianza imperfecta

Introducción
En seguridad de la información un incidente es un como un punto negro sobre un lienzo blanco, una marca visible que motiva un juicio de responsabilidades sobre el ejecutivo de seguridad de la información. Si un incidente se advierte como una falla al sistema de gestión de seguridad de la información exclusivamente, la función de seguridad estará restringida en su capacidad de prevención y anticipación, privilegiando una vista de retrovisor que la puede distraer del camino que tiene por delante.

La función de seguridad de la información es un ejercicio permanente de construcción de confianza (Cano, 2012), a partir de una gestión imperfecta del tratamiento de la información de las personas de la información. En este sentido no es posible hablar de una protección en términos absolutos “blanco o negro”, sino en un rango de posibilidades asistido por circunstancias de operación, que establecen un contexto de actuación específico, para actuar o no de una manera particular.

Así las cosas, se requiere establecer el grado de confianza requerido para tomar acciones en escenarios concretos, lo que supone comprender las situaciones inciertas del momento, las contradicciones de las condiciones en que se presentan y sobre manera los objetivos de negocio que están en juego.

En este sentido, este documento presenta un análisis conceptual de la confianza a partir de los desarrollos académicos del concepto de paz de los profesores Muñoz (s.f.) y Jiménez (2014), como punto de partida para comprender la dinámica de la protección de la información en el contexto de las organizaciones del siglo XXI.

Cuatro definiciones sobre la paz
Siguiendo los análisis efectuados por académicos internacionales (Muñoz, s.f., Jiménez, 2014) en temas de paz, se habla de cuatro tipos de “paces”: Paz regulatoria, paz perfecta, paz imperfecta y paz neutra, las cuales serán el fundamento para repensar la confianza en la práctica de protección de la información en las empresas.

La paz regulatoria es la paz construida sobre las bases y fundamentos de los gobiernos. Es un ejercicio normativo y de estabilidad fundamentada en una declaración de un estado para formalizar un tipo de comportamiento requerido y sancionar aquellos que no se encuentren ajustados con aquellos esperados.

La paz perfecta, de acuerdo con el profesor Muñoz (s.f.), “es el resultado de una construcción consciente de una paz basada en la justicia, generadora de valores positivos y perdurables, capaz de integrar política y socialmente, degenerar expectativas, y de contemplar la satisfacción de las necesidades humanas”, en otras palabras, un estado ideal donde todas las personas cumplen sus expectativas y el estado asegura sus promesas de bienestar y protección.

La paz imperfecta establece reconocernos como seres imperfectos e inacabados que continuamente vivimos en conflicto, dados los contextos históricos, sociales, culturales, biológicos que nos definen y moldean. En este sentido, se hace necesario construir desde la diferencia aspectos relevantes que generen una convivencia autoorganizada que balancee aquellos aspectos positivos y otros limitantes que permitan una construcción más abierta de un entorno “más pacífico” (Muñoz, s.f.).

La paz neutra, anota el académico Jiménez (2014), busca “procurar que la convivencia cotidiana se asiente en valores como la empatía, la tolerancia, la diversidad, la solidaridad, etc.”, es no acelerar o motivar acciones de conflicto, sino identificarlas y actuar de acuerdo con los valores previamente mencionados.

Estas cuatro aproximaciones sobre la paz rompen el paradigma vigente sobre el concepto mismo permitiendo revisiones que superan los ejercicios de posiciones extremas, para habilitar un escenario de conversaciones enriquecidas, donde la construcción y reconocimiento del otro suman para desarrollar contextos más participativos e incluyentes.

Repensando la confianza en la protección de la información
Considerando estas posturas sobre la paz, podemos hacer una lectura isomorfa de lo que significa la confianza en el ejercicio de seguridad de la información, en el entendido que la esencia de la práctica de protección siempre se encuentra en conflicto natural con la dinámica del negocio y los nuevos retos que traen la implementación de tecnologías emergentes.

Por lo anterior, se detallan a continuación cuatro distinciones de confianza: confianza regulatoria, confianza perfecta, confianza imperfecta y confianza neutra.


Figura 1 Cuatro tipos de confianza (Autoría propia)

La confianza regulada, es el resultado de un contexto de cumplimiento regulatorio y normativo que induce un comportamiento específico. Las normas y guías de actuación se convierten en focos de verificación, cuyos resultados pueden tener consecuencias favorables o desfavorables para los individuos, como quiera que el gobierno de la seguridad de la información tiene la capacidad de afectar aspectos personales y variables propias del desempeño de los empleados.

La estabilidad de esta confianza está basada en el ejercicio de control y verificación que establece la organización, que generalmente es una indicación de mando, donde el error es causal de posturas restrictivas y acciones que imponen una sanción. La confianza se asume como predictibilidad de comportamientos, los cuales están asistidos por la adhesión a la norma, que es lo que normalmente se espera de un empleado dentro de una organización.

La confianza perfecta es el ejercicio de consciente y concreto que las personas efectúan para proteger la información. Una declaración de apropiación real y clara del entendimiento de la información como activo, situación que hace que los comportamientos esperados sobre la protección de las personas se dan de manera natural y cualquier falla o falta se reporta como parte esencial de la práctica de seguridad, la cual reconoce el error como una oportunidad de aprendizaje, que potencia y nutre el imaginario de seguridad de la información propio de la empresa.

La estabilidad de esa confianza se da en el ejercicio de la pedagogía del error, donde la fuerza de la práctica se encuentra en los aprendizajes y desaprendizajes que las personas tienen en situaciones y contextos distintos, lo que permite un proceso de enriquecimiento de saberes previos de los individuos sobre la seguridad, que finalmente se ve reflejado en un fortalecimiento del cortafuego humano.

La confianza imperfecta es el reconocimiento que los comportamientos de las personas son inestables. Es comprender que las circunstancias, los contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo esperado, una lectura de umbrales de tolerancia a fallas que sabe de la naturaleza limitada de las personas y la tendencia al error, que invita más a la reflexión y confrontación de sus propias actuaciones, para construir en conjunto con otros y cerrar cada vez más los umbrales de falla, hasta definir aquel que es aceptado y tolerado por la empresa.

La estabilidad de esta confianza está en el entendimiento y estrategias que tiene la organización para actuar cuando los umbrales se superan y cómo desarrolla su capacidad de recuperación y resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un rango estático de compromiso de la organización, sino como una vista dinámica de la evolución del imaginario de protección que la empresa moldea con sus decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.

Finalmente, la confianza neutra es una postura preventiva que advierte la condición insegura de forma anticipada y toma las acciones necesarias para evitar o distanciar la materialización de los eventos no deseados que se provocarán por actuar de forma insegura. Esta confianza, define un comportamiento natural de monitoreo y valoración de riesgos, que mantiene un mínimo de paranoia bien administrada en la persona, que pueden inhibir actuaciones de las personas ante situaciones inestables o dinámicas.

La estabilidad de la confianza neutra es el nivel tolerancia que tienen los participantes de la comunidad frente al tratamiento de la información. Una apuesta por conectar y sintonizar expectativas de los participantes sobre las brechas de seguridad de la información posibles, las cuales son conversadas y compartidas para construir saberes enriquecidos que son leídos y ajustados desde las posturas particulares, haciendo una red de conocimiento que se fortalece con las lecciones aprendidas, más que con las sanciones aplicadas.

Estos cuatro tipos de confianza establecen un marco de análisis de las apuestas que las organizaciones hacen respecto de la protección de la información. Por un lado, cada una de ellas tiene como centro los comportamientos de los individuos y la forma como los resultados de los mismos afectan la esencia misma de la protección. Es posible asumir una postura de la pedagogía del éxito donde el error es un resultado que deben ser evaluado o juzgado según el impacto que se ha ocasionados o tomar la falla como parte del proceso que permite sintonizar una práctica respecto de lo que la organización espera.

Los cuatro tipos de confianza revelan la tolerancia que las empresas deben construir para mantener o elevar la apropiación de las prácticas como quiera las personas tendrán una tendencia natural al error. En este sentido, las organizaciones definen y aceptan un nivel de riesgo concreto, para el cual preparan su estrategia de respuesta ante la materialización del mismo. Lo anterior supone una postura de aprendizaje que no solo sabe y conoce sus propias limitaciones, sino que se enriquece los saberes de los individuos para que, ante situaciones inciertas, puedan tomar decisiones ajustadas con los fundamentos de la protección y las expectativas de la corporación.

Implicaciones para la función de seguridad de la información
Si la función de seguridad de la información se debe a la construcción de confianza, las empresas y sus definiciones de seguridad deben establecer qué tipo de confianza quieren construir, para poder afinar la estrategia de seguridad y control que responda con esa condición particular esperada de los comportamientos de las personas.

Ignorar la naturaleza normal del error, creer que es posible un aseguramiento ciento por ciento, aceptar que la respuesta a la seguridad es eminentemente tecnológica y aceptar que en seguridad las cosas son blanco o negro, es condenar las organizaciones a una vista estática, predecible y estable, la cual dista de la realidad vigente, creando crisis internas innecesarias cuya respuesta natural es la sanción y el castigo ejemplarizante como estrategia para modificar comportamientos de las personas.

Como se puede observar el concepto de confianza no es único como el de la paz, se tienen matices que procuran un entendimiento diferenciado. Así como la paz no es necesariamente ausencia de conflicto o confrontación, la confianza no es ausencia de error o inestabilidad, todo lo contrario, es un ejercicio que se construye a partir de la falla y del reconocimiento de la capacidad de mejora continua y discontinua de las personas, para hacerse más resistente a la inevitabilidad de la falla.

Confiar en que otra persona va asegurar un adecuado tratamiento de la información, no supone una confianza perfecta, sino una práctica imperfecta o perfectible, en la medida que es posible prevenir o actuar con un margen de error conocido y unos impactos delineados, como pilares de la formulación de umbrales de riesgo para los cuales tanto individuos como empresa deben estar preparados para continuar su espiral ascendente de aprendizaje o desaprendizaje.

Si lo anterior es correcto, la confianza es una propiedad emergente de la ejecución de las prácticas de seguridad y control de las personas en la organización, es decir un tejido de expectativas conocidas y renovadas, desde las conversaciones para la acción de los grupos de interés, que  entiende que la protección de la información es un ejercicio de confianza imperfecto, que no busca la invulnerabilidad, sino el aprendizaje permanente de los involucrados para alcanzar en cada momento un nivel de cumplimiento de acuerdo con el mandato de los cuerpos colegiados.

Así las cosas, en todo aquello que se confía, tendrá de forma inherente la semilla de la vulnerabilidad, como quiera que si dejamos de sospechar o preguntarnos sobre eso en lo que confiamos, se creará el entorno natural para que crezca la inevitabilidad de la falla y cambie la lectura del entorno. 

Por tanto, las prácticas de seguridad y control deben leer y afinar los tipos de confianza que se quieren desarrollar, habida cuenta que de no hacerlo se podría comprometer la imagen de la empresa, generar comportamientos ocultos, lectura no apropiadas de la normatividad y sobre manera un ambiente de inestabilidad jurídica y práctica que no comunica a los grupos de interés un mensaje homogéneo y sincero.

Reflexiones finales
Hablar de la confianza en un escenario empresarial, es una condición básica para la actuación de los empleados y los ejecutivos en el desarrollo de su modelo de generación de valor. No es un concepto utópico, es decir, irrealizable o inalcanzable, sino eutópico, que es posible y que puede ser realizable (Calvo, 2016), una apuesta no por el proceso, sino por la capacidad de las personas para aprender y desaprender ante situaciones inciertas e inestables, como fundamento de una práctica imperfecta en su hacer, pero perfectible en su diseño.

Hablar de la protección de la información es concretar una distinción de confianza imperfecta, donde las personas habilitan su capacidad creativa en un contexto definido, para actuar de acuerdo con las expectativas de aseguramiento que la empresa espera. Es claro que no siempre se tendrán las mejores decisiones, pero lo que sí es posible lograr, es superar la ilusión de la certeza, motivando novedosas aproximaciones de protección de los datos que estén fuera de los referentes conocidos.

De otro lado, una confianza regulada, basada en la repetición no razonada de reglas, resultará estéril. Este tipo de confianza entiende a las personas como un repositorio de información, que deben utilizar actuar ante ambientes ciertos donde la respuesta está dada; una apuesta que no contempla umbrales de error para los empleados, creando ambientes donde aprender no es una opción. En este escenario, no es posible pensar de forma diferente dada la necesidad de asegurar un comportamiento esperado, que permita a la empresa una posibilidad cierta de control sobre las acciones de sus procesos y resultados.

En consecuencia, proteger la información en un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), consiste en “respetar y promover el derecho a equivocarse”, una alternativa novedosa y discontinua que implica crear un tejido fino de “relaciones holísticas y sinérgicas” (Calvo, 2016) para armonizar los estándares conocidos de aseguramiento, con la necesidad de aprender y desaprender propia de las organizaciones y los seres humanos.

Así las cosas, la protección de la información demanda un ejercicio de balance entre “contrarios”: “saber-ignorancia”, “orden-caos”, “confusión- comprensión”, “inseguridad-seguridad”, para definir una vista que privilegie un flujo de reflexiones del uno al otro, donde, como afirma el profesor Calvo (2016, p.54) “lo distinto es acogido en su diferencia, antes que excluido por su oposición”.

Referencias
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Jiménez, F. (2014) Paz neutra: Una ilustración del concepto. Revista de Paz y Conflictos. Instituto de la Paz y los Conflictos. Universidad de Granada. 7. 19-52. Recuperado de: http://revistaseug.ugr.es/index.php/revpaz/article/view/1806/2627
Muñoz, F. (s.f.) La paz imperfecta ante un universo en conflicto. Instituto de la Paz y los Conflictos. Universidad de Granada. Recuperado de: http://www.ugr.es/~eirene/publicaciones/Imperfecta.pdf
Cano, J. (2012) El negocio de la seguridad de la información. Revelando la potencialidad de un concepto. ISACA Journal. Vol. 4. Recuperado de: http://www.isaca.org/Journal/archives/2012/Volume-4/Pages/JOnline-El-Negocio-de-la-Seguridad-de-la-Informacion-Revelando-la-Potencialidad-de-un-Concepto.aspx
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.

domingo, 24 de julio de 2016

La inevitabilidad de la falla y la transformación digital. Realidades convergentes en un mundo digitalmente modificado

Introducción
El mundo digitalmente modificado es una expresión que cada vez más estará en el lenguaje de los gerentes de tecnología de información y de los ejecutivos de seguridad de la información. Mientras los primeros buscarán aumentar la presencia automatizada de los procesos empresariales y capturar toda la información posible para hacer de la experiencia del cliente algo inolvidable, los segundos deberán comprender y alinear la estrategia digital de la empresa, frente al reto de proteger los activos de la empresa ahora un escenario hiperconectado, en la nube, virtualizado, de redes sociales y móvil.

Esta transformación digital toma por sorpresa a algunas organizaciones y a otras, alineadas con las exigencias de unos clientes altamente informados, demandantes de servicios novedosos y sobre manera ávidos de contenidos y apuestas emergentes que cambien su forma de hacer las cosas. En este sentido, el flujo de información corporativa y personal se incrementa dada la convergencia tecnológica que se advierte y la modificación digital de servicios y productos que ofrece una mayor cercanía con los gustos y perfiles de sus usuarios.

En este contexto, la transformación digital no solo debe consultar los retos y apuestas estratégicas de las empresas, sino la forma como la protección de la información se traduce en fundamento básico de la interacción y la promesa de valor para el cliente que quiere aprovechar las nuevas propuestas, con la confianza y transparencia necesarias, que dé cuenta del compromiso ético digital de la compañía frente al tratamiento de sus datos.

En consecuencia, la transformación digital de las empresas del siglo XXI debe indagar en los retos de la seguridad y control en un mundo digitalmente modificado, para explorar y anticipar los retos propios de la inseguridad de la información, como factor clave que permita crear y proteger el valor de las iniciativas digitales empresariales, así como motivar una práctica de aseguramiento de datos en los clientes, como efecto emergente de su participación en la nueva dinámica de los negocios.

Por tanto, adelantar una transformación digital ignorando los desafíos inherentes de la inseguridad de la información en esta nueva realidad digital, es caminar en medio de un fuego cruzado, donde tanto empresa como cliente estarán sobre terrenos inestables, creando con cada interacción inciertos que afectarán tanto la experiencia del cliente, como los planes de negocio de la compañía.

Así las cosas, articular la transformación digital en una empresa demanda un constante aprendizaje, una interacción ágil con los productos y servicios, antes y después de su lanzamiento, así como la renovación flexible de usos y características ajustadas a los cambios de expectativas, lo cual aumenta la responsabilidad digital empresarial, para proteger los flujos de información entre la empresa y sus clientes. En este sentido, este documento plantea algunas reflexiones sobre la transformación digital y la seguridad de la información como base para repensar la práctica de seguridad y control en las organizaciones digitalmente modificadas.

Transformación digital. Una vista práctica
De acuerdo con Rogers (2016) desarrollar una transformación digital implica al menos considerar cinco elementos claves: clientes, competencia, datos, innovación y valor, los cuales en una interacción permanente logran capitalizar una lectura diferencial de la realidad, donde se crean flujos de valor en doble vía y los datos se convierten en cada momento en activos valiosos que conectan puntos antes aislados del contexto de los clientes con la dinámica de la empresa.

La transformación digital, es una transmutación empresarial que altera la cultura organizacional donde se pasa del mundo de las tecnologías de información a los productos y servicios digitalmente modificados, una apuesta de las plataformas tecnológicas para crear cooperación entre áreas, clientes, competidores y todo aquel que quiera crear activos estratégicos valiosos para el ecosistema digital de la compañía.

En este ejercicio de cambio digital, se motiva tomar riesgos en una zona psicológicamente segura, donde fallar no es una calificación del proceso, sino un insumo que acelera la nueva práctica que la organización quiere crear para consolidar una vista renovada de sus negocios; una oportunidad, no para encontrar la solución correcta, sino para confrontar y superar el problema correcto.

Desarrollar una transformación digital implica reconocer a la organización en una dinámica de relaciones propias de un ecosistema digital, donde las conexiones definen la identidad digital de la empresa, que no es otra cosa, que la capacidad de modificar de forma anticipada su modelo de negocio para mantenerse en sintonía con la red de expectativas de los clientes y así amplificar su presencia en el entorno y confirmar su compromiso digital.

En una metamorfosis digital una empresa debe entender que se revelan comportamientos de los clientes, aquellos propios de las redes de comunicación y significados emergentes relativos a los contextos donde se encuentran inmersos. Dichas conductas apalancan los cambios digitales deseados y requeridos, para darle sentido a la estrategia digital. El acceder, el enganchar, el personalizar, el conectar y el colaborar son los procederes básicos que las empresas deben leer en los clientes para concretar las propuestas digitales que se desarrollen en la esfera de la realidad modificada.

A continuación, un breve resumen de las temáticas relevantes a tener en cuenta con cada uno de los comportamientos mencionados: (Rogers, 2016)

Comportamiento
Temáticas claves a tener en cuenta por las organizaciones
Acceder
Simplicidad, conveniencia, ubicuidad y flexibilidad
Enganchar
Conocer al cliente, crear contenido relevante, irresistible y útil, sorprender con experiencias inéditas
Personalizar
Identificar las necesidades del cliente, disponer de una plataforma de fácil uso y configuración, crear experiencias únicas
Conectar
Motivar el uso de redes sociales para conectar los clientes con la solución de problemas, los aprendizajes de las tendencias del mercado y estar más cerca de sus gustos y expectativas
Colaborar
Entender las motivaciones para participar de los clientes, para que, desde su propio nivel de habilidad y experiencia, ofrezca sus contribuciones y con la adecuada orientación, le dé forma a su objetivo final

Como se puede observar cada comportamiento establece una movilidad del cliente y plantea un sentido particular de su interacción. En esta lectura, lo que es transversal a todos los comportamientos detallados es el flujo de información y las emociones que se pueden crear dependiendo de la situación de negocio que se plantee en un momento específico.

En consecuencia, cada persona respecto de los comportamientos anunciados crea una dinámica de alineación o desalineación con el negocio, que debe estar asistida por las prácticas de seguridad y control, no como una tarea adicional, sino como apalancador de la relación creada entre el cliente y los servicios o productos. Lo anterior procura una madurez de la práctica de protección digital, que se traduce en confianza y transparencia, valores que ocupan mucho de la agenda de la creación de valor de aquello digitalmente modificado.

Entendiendo algunas relaciones relevantes de la transformación digital y su encuentro con la protección de la información
Existen múltiples conexiones que se pueden revelar en el ejercicio de pensar el futuro. Los escenarios (Phadnis, Caplice y Sheffi, 2016) como fuente natural de pensamientos divergentes y como cadena de apoyo para moldear el razonamiento y las decisiones de los ejecutivos, establece una forma que sintetiza aquello que parece incierto y ambiguo en un marco de análisis de posibilidades y no de probabilidades.

Dichos escenarios revelan el potencial de las oportunidades que el ecosistema digital puede tener disponibles para todos los actores. Dentro de las posibles contribuciones que se pueden desarrollar tenemos: (CEB, 2016)
  • Integración fácil y rápida
  • Incremento de la recolección de datos
  • Mejoramiento del poder de cómputo y almacenamiento
  • Interacción superior con la tecnología de información
  • Alta movilidad
Estas posibilidades, en lectura de la infraestructura tecnológica, demandan un nivel de aseguramiento de la misma, así como de la información que va a transitar entre dispositivos móviles o productos digitalmente modificados, habida cuenta que es de esta forma como los clientes, establecen sus propios esquemas de uso y apropiación para sacarle el mayor provecho de la oferta disponible y así capitalizar el valor esperado.

De otra parte, Porter y Hoppelman (2015) confirma estos planteamientos a través de la distinción de “Niveles tecnológicos” (en inglés technology stack), donde se indica la manera como se modifica digitalmente un producto o servicio, para lo cual es necesario entender sus elementos básicos y aquellos complementarios que los modifican y nutren como son:
  • Elementos básicos: a) Conectividad, b) el producto y c) el soporte en la nube
  • Elementos complementarios: los elementos de seguridad y control (que afectan a todos elementos básicos), las fuentes de información externas (que afectan a b) y c)), y la integración con los sistemas de negocio.

En este modelo conceptual de los académicos de Harvard (Porter y Hoppelman, 2015), la seguridad es un elemento transversal que debe proteger la promesa de valor del producto o servicio digital e inteligente que se propone. Dada su alta conectividad y exposición en un contexto hiperconectado se hace necesario validar e identificar la inseguridad de la información propia de su diseño, con el fin aumentar la confiabilidad del producto, la seguridad de sus datos y la confianza del cliente.

En palabras de los mencionados académicos, “la seguridad de la información se convierte en una fuente clave de valor y un diferenciador potencial”, palabras que confirman que toda transformación digital demanda un entendimiento de la dinámica de la información y sus flujos, para lo cual las empresas bien pueden asumir los mecanismos de seguridad y control u ofrecer opciones particulares para que sea el mismo cliente quien configure la forma como será transmitida, recolectada o utilizada toda su información (Porter y Hoppelman, 2015).

Así las cosas, la transformación digital de las empresas supone un ejercicio previo de conceptualización de los flujos de información que se van a desarrollar, comprender la relevancia o nivel de sensibilidad de los datos y las estrategias más adecuadas para balancear la efectividad y facilidad del uso del producto modificado, de tal forma que tanto el cliente, como la organización sean digitalmente responsables, esto es, asegurar una relación de confianza y transparencia que configure el valor como una propiedad emergente donde ambos se benefician.

La inseguridad de la información y la transformación digital. Una vista de retos emergentes.
Si perjuicio de lo anterior y de las conversaciones convergentes que existen entre la transformación digital y la seguridad de la información, la inseguridad establece la vista complementaria que demanda, tanto de la organización como del cliente, una postura de riesgos, que atendiendo el contexto inestable e incierto donde se van a usar los productos o servicios digitalmente modificados, sea capaz de aumentar la resistencia a los fallas o ataques de los cuales será objeto.

Cuatro son las tendencias que confirman los retos para la seguridad y el control en un mundo digitalmente modificado:
  • Nuevas tecnologías disponibles
  • Mayor flujo de datos personales y corporativos
  • Acelerada convergencia tecnológica
  • Mayor superficie disponible

Cada una de ellas se materializa en las propuestas tecnológicas actuales: como son la virtualización, la computación en la nube, las redes sociales y la computación móvil, las cuales motivan conexiones que entran y salen del dominio de las personas, habilitando no solamente nuevas opciones para los individuos y empresas, sino posibilidades para la imaginación de los atacantes.

Ahora el perímetro de seguridad no es ni la zona desmilitarizada o la infraestructura de contorno de las organizaciones, ni el dispositivo inalámbrico y móvil que tiene el cliente, sino la persona misma. Al tener un producto o servicio digitalmente modificado es el ser humano el que finalmente se va a ver afectado, como quiera que su información o alguna función vital suya podrá comprometerse si algún fallo deliberado o intencional se presenta sobre aquel.

Así las cosas, la postura de riesgos, ese mínimo de paranoia debidamente administrada, deberá ser parte del entrenamiento que tanto empresa como clientes deberán construir para aumentar la resistencia a los posibles ataques sobre los productos o servicios digitalmente modificados, con el fin no sucumbir a la ansiedad por lo incierto y mantener una vigilancia y monitoreo permanente que asegure un nivel de exposición conocido y administrado.

A pesar de lo anterior, es claro que la inevitabilidad de la falla estará presente, por tanto, se hacer necesario establecer protocolos a nivel de las personas y las funcionalidades habilitadas en los productos o servicios, de tal manera que sea posible actuar frente a estas situaciones imprevistas, particularmente siguiendo los lineamientos de la postura de falla segura, es decir, llevar al ecosistema a una condición conocida y definida cuando se pierde la normalidad de la operación, con acceso restringido e interacción mediada por autenticación fuerte.

Dentro de las amenazas emergentes que se han identificado a la fecha (Ariu, Didaci, Fumera, Giancinto, Roli, Frumento y Freschi, 2016; Mcafee, 2016), que demandan un gran reto en el ejercicio de protección se encuentran:
  • Ataques sin archivos: Código malicioso escrito directamente en la memoria RAM.
  • Infiltraciones con cifrado: Uso de cifrado para tomar control de los archivos en los dispositivos.
  • Ataques bajo el sistema operativo: Afectación y compromiso del firmware, BIOS y Master Boot Record.
  • Interfase de comandos y control remoto: Explotación de debilidades en protocolos de comunicación y toma de control de los dispositivos.

Reflexiones finales
Si bien es claro que, de acuerdo con los resultados de la encuesta de Dimensional Research (2016) los drivers o motivadores que aceleran el mundo digitalmente modificado son:
  • Incrementar la productividad de los empleados
  • Reducir o controlar los costos de TI
  • Conocer la dinámica de las expectativas de los clientes
  • Enfrentar las presiones competitivas
las reflexiones de la seguridad y el control en esta nueva configuración de la realidad digital están llegando tarde y por lo tanto, la funcionalidad de los productos o servicios modificados con tecnologías de información, han salido al mercado con limitadas especificaciones de protección, las cuales tarde o temprano serán reveladas por la inevitabilidad de la falla.

Esta condición particular advierte la falta de madurez de la seguridad de la información del negocio digital (Bobbert, 2010), de tal forma que se deben revisar las actitudes y percepciones de los participantes en el diseño de la estrategia digital de la empresa, habida cuenta que es la información, la conectividad y las tecnologías de información, las que en conjunto materializan la promesa de valor para los clientes que demandan, no solamente una experiencia excepcional y sobresaliente, sino la confiabilidad y aseguramiento de su entorno digital donde él es el protagonista principal.

Por tanto, hablar de transformación digital y su madurez en el contexto empresarial, es entender una serie de barreras según su grado de evolución. Los temas de seguridad y control, son propios de aquellas empresas maduras (es decir con más de 5 años con estrategia digital clara), las cuales han cubierto el camino de la falta de entendimiento de la gerencia, la insuficiencia de habilidades técnicas y las múltiples prioridades para desarrollar proyectos digitales empresariales (Kane, Palmer, Nguyen, Kiron y Buckley, 2016).

La seguridad de la información en el contexto de la transformación digital es un proceso cambio de comportamientos, donde proteger el entorno tecnológico donde se concreta la ventaja competitiva, significa comprender lo que es una capacidad digital: una combinación innovadora del mundo físico y el mundo lógico, donde extraemos información de los recursos físicos y los integramos con los recursos digitales (Rowsell-Jones, 2013).

Así las cosas, parafraseando a los académicos del IESE (Káganer, Zamora y Sieber, 2013) los ejecutivos de seguridad de la información, en el escenario de la transformación digital, deberán ser el puente entre lo viejo y lo nuevo, gestores de lo conocido para salvaguardar las operaciones y la rentabilidad de la empresa, y custodios de las iniciativas digitales, que por ser más vulnerables, exigen una vista de gobierno de la protección de la información para anticipar la inevitabilidad de la falla y aumentar la resiliencia organizacional ante nuevas discontinuidades de negocio.  

Finalmente, recuerde la recomendación del CEO de Visa, Inc, Charles W. Scharf:
Invierta en seguridad antes que en otra temática. Un entorno bien controlado le da licencia para hacer otras cosas. Productos grandiosos e innovadores sólo le ayudarán a ganar y prosperar, si usted tiene un negocio bien protegido. No deje los detalles a los demás, su involucramiento producirá mejores resultados y el mejor entendimiento de la importancia de ésta temática para la supervivencia de organización” (Paloalto – NYSE, 2015, p. vi) en un mundo digitalmente modificado.

Referencias
Ariu, D., Didaci, L., Fumera, G., Giancinto, G., Roli, F., Frumento, E. y Freschi, F. (2016) A (Cyber)road to the future. A methodology for building cybersecurity research roadmaps. En Akhar, B. y Brewster, B. (Editors) (2016) Combatting cybercrime and cyberterrorism: challenges, trends and priorities. Switzerland: Springer Verlag. 53-80.
Bobbert, Y. (2010) Maturing business information security. A framework to establish the desired state of security maturity. Institute for business and information security alignment. Holanda. NPN Press
CIO Executive Board – CEB (2016) Technology ecosystem for the digital enterprise. Infographic.
Dimensional Research (2016) Digital transformation security survey. A survey of IT and Security professionals. Sponsored by Dell. Julio. Recuperado de: https://software.dell.com/whitepaper/global-survey-digital-transformation-security-survey8113164
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. Tercer trimestre. 18.
Kane, G., Palmer, D., Nguyen, A., Kiron, D. y Buckley, N. (2016) Strategy, not Technology, Drives Digital Transformation. Becoming a digitally mature Enterprise. MIT Sloan Management Review. Research Report. In collaboration with: Deloitte University Press. Recuperado de: http://sloanreview.mit.edu/projects/strategy-drives-digital-transformation/
Mcafee (2016) Mcafee Labs 2016 threats predictions. Recuperado de: http://www.mcafee.com/uk/resources/reports/rp-threats-predictions-2016.pdf
Paloalto – NYSE (2015) Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers. Chicago, Illinois. USA: Caxton Business & Legal, Inc. Recuperado de: https://www.securityroundtable.org/wp-content/uploads/2015/09/Cybersecurity-9780996498203-no_marks.pdf
Phadnis, S., Caplice, C. y Sheffi, Y. (2016) How Scenario Planning Influences Strategic Decisions. Sloan Management Review. Summer.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre
Rogers, D. (2016) The digital transformation playbook. Rethink your business for the digital age. New York, USA: Columbia University Press.
Rowsell-Jones, A. (2013) Su empresa también tiene ventaja digital. IESE Insight. Tercer trimestre. No. 18.

domingo, 12 de junio de 2016

Repensando el entrenamiento en seguridad de la información. La acción educativa como paradigma integración entre teoría y práctica

Introducción
Revisando el reciente informe de Ponemon (2016), patrocinado por Experian, publicado en mayo de 2016, sobre el manejo del riesgo interno a través del entrenamiento y la cultura, queda en evidencia que los programas de entrenamiento en seguridad y privacidad de la información de las empresas requieren una revisión en profundidad.

Las estadísticas indican que las brechas de seguridad se ocasionan por la falta de cuidado o negligencia de los empleados al exponer información sensible o al caer en los engaños de los ataques de phishing. Estas realidades muestran que las estrategias educativas utilizadas no están transformando las prácticas de las personas y sólo les están entregando información base sobre lo que debería ser.

Si la estrategia que se sigue para motivar cambios en las acciones de las personas en la protección de la información están articuladas en un currículo detallado de temas a cubrir, clases magistrales y validación de conocimientos mediante aprobación de exámenes, la seguridad de la información y la privacidad terminan siendo una temática más a cubrir dentro de los entrenamientos que las personas deben tomar para asegurar que, por lo menos, conocen sus responsabilidades frente al tratamiento de la información.

En este sentido, los procesos de entrenamiento o formación en seguridad y privacidad, se desconectan de la práctica real de las personas, privilegiando la repetición de un conjunto de conceptos y conocimientos, los cuales deben ajustarse a los estándares mínimos que la empresa tiene respecto del tema. Por tanto, los contenidos del entrenamiento se convierten en la tabla memorizada de lo que significa proteger la información y la forma como la persona le dice a la empresa que ha cumplido con la exigencia del curso asignado dentro de su plan de formación.  

Con este panorama y entendiendo que cada empleado es un “depósito de conocimiento”, en el cual cada uno debe tomar las acciones más adecuadas, los procesos de capacitación en seguridad y control se convierten en la extensión de una lectura mecánica de la organización, donde en el aula, de manera descontextualizada, se trata de “inyectar” los conceptos propios del aseguramiento de la información, esperando que los comportamientos cambien por el sólo hecho de haber aprobado con una calificación mínima las pruebas que se realizan para validar que sabe del tema.

Adicionalmente, el informe de Ponemon (2016) sugiere estrategias basadas en la cultura que provean incentivos para movilizar comportamientos que protejan la información ajustados a los parámetros esperados por las empresas y de igual forma, sanciones por los comportamientos negligentes que impacten las finanzas de los empleados y restrinjan beneficios alternativos previstos por la organización.

En consecuencia, este documento presenta una reflexión conceptual sobre cómo quebrar el paradigma educativo vigente en seguridad de la información e ilustrar algunas características de la acción educativa que superen la instrucción como paradigma de formación y se habilite una distinción educativa corporativa que medie la relación entre la persona y su entorno.

La formación en seguridad de la información. La vista desde la cultura organizacional basada en la administración científica
Las organizaciones herederas de la vista de la administración científica del trabajo, entienden que las personas son recursos que deben mantener un nivel de productividad asociado con las labores que tienen encomendadas. La planeación, los indicadores y los seguimientos son la realidad natural de cualquier empleado en una organización basada en el paradigma mecanicista de planteado a principios del siglo XX para las empresas.

Bajo estas condiciones, la empresa espera que los individuos conozcan los detalles de sus actividades, para lo cual establecen por lo general procedimientos y normas que definen lo que es adecuado y apropiado según las necesidades de su operación. En ese escenario, los documentos normativos buscan disminuir la incertidumbre de la actuación de las personas y volver predecible el comportamiento de aquellos.

De otra parte, esta estrategia de delimitación de acciones individuales, le indica al sujeto un referente particular de la realidad que está validado por el contenido del documento, limitando su capacidad de crítica o cuestionamiento sobre lo que allí se expone, creando un imaginario que se comparte en el hacer de sus actuaciones corporativas y que, por lo general, viene asistido por sanciones que censuran a todos aquellos que no se ajustan con dicho lineamiento.

En consecuencia, si se requiere formar o instruir a una persona en esta lectura empresarial, necesariamente debe atender a los métodos de aprendizaje que aseguren que las personas son capaces de memorizar y repetir los conceptos claves de lo que requieren hacer y que conocen de forma explícita las actividades que deben realizar para asegurar que el proceso se cumple de la forma especificada y los resultados son los esperados.

Habida cuenta de lo anterior, si entendemos que la educación, como dice John Ruskin, no significa enseñarle a una persona algo que no sabía, sino convertir en alguien que no existía, los procesos de formación o instrucción corresponden a prácticas que crean líneas base de conocimientos y referentes de cumplimiento normativo, para disuadir a un individuo que se ajuste a un comportamiento esperado por la empresa y por tanto, concordar con el modelo de actuación que ella quiere.

Las bondades de las estrategias de formación e instrucción previamente comentadas, permiten a los participantes saber qué tanto conocen la forma cómo la empresa quiere asumir la incertidumbre del entorno y la forma como serán evaluados sus comportamientos en desarrollo de las actividades propias de sus cargos. En contraste, las personas no tienen espacio para pensar, ni proponer alternativas de ajuste como quiera que es la empresa la que define lo que es pertinente y relevante para sus empleados.

Educando en seguridad de la información. La acción educativa como fuente de transformación del comportamiento individual
De acuerdo con Castillejo (1987) la acción educativa busca provocar en el individuo “estructuraciones, integraciones u organizaciones” para motivar una reintegración funcional de la teoría con la práctica. Entender esta lectura educativa como una vista integrada, permite al individuo reconocerse como parte de un entorno donde actúa y referenciar sus conocimientos propios sobre su saber particular frente a las decisiones que debe tomar.

En consecuencia, la acción educativa debe atender los siguientes elementos claves: (Colom y Núnez, 2005, p.121-126)
  • Conseguir la finalidad educativa de los procesos concretos que se desarrollan. Esto es, aspirar a una formación coherente e integral que supere la sola adquisición de conocimientos.
  • Generar en el sujeto actividades estructurantes, o conformadoras del modo de ser solicitado en los objetivos o finalidades educativas. Lo anterior, demanda la elaboración de una práctica sistémica de la educación que integre la práctica con la teoría.
  • Motivar una resolución mediadora entre el sujeto y el ambiente. Lo que significa desarrollar una relación permanente con el entorno donde se encuentra que le permita adaptar, modificar, optimizar, etc., sus propias reflexiones, que aumente el repertorio de propuestas disponibles por el individuo.
  • Transferir las lecciones aprendidas a otras situaciones diferenciadas. Esto significa, generar un conjunto de nuevas prácticas generalizadas que pueden ser adaptadas a otros momentos y circunstancias como base de las actuaciones del individuo debe asumir en su devenir.
  • Ajustar de acuerdo con cada individuo, según sus capacidades y exigencias, la propuesta de formación educativa. Esto es, reconocer la individualidad del sujeto, sus singularidades y su realidad social como parte de un todo en el cual actúa y es influenciado.
  • Renovar el cuerpo de conocimientos adquirido cada cierto tiempo, reconociendo que la acción educativa no se limita a la duración de los planes de estudio. Esto demanda explorar posibilidades de formación no formal, en manos de empresas, instituciones públicas y privadas, que busque no solo adaptar a los individuos a las nuevas necesidades, sino que los habiliten para ser sujetos activos de su propio aprendizaje.
  • Desarrollar cada vez más actividades más complejas, fruto de la inestabilidad del entorno y la incertidumbre de los tiempos actuales. Lo anterior, supone que el individuo se reconozca dentro de una situación contingente social y culturalmente, lo cual le permite ser parte de las transformaciones que se producen a nivel global.

Si revisamos cada uno de estos elementos, en el contexto de la educación corporativa en seguridad de la información, estamos reconectando al individuo frente a su práctica de protección de la información, integrando los saberes propios y lecciones aprendidas de tal forma que la formación que se presenta, no es exclusiva de una lectura propuesta por la organización, sino que hace parte de una forma concreta de apropiación del concepto que el individuo asume al reconocerse parte del entorno y que tiene la potencialidad de cambiarlo desde la nueva lectura de significados que este crea frente a los saberes desarrollados.

Así las cosas, si se ha demostrado que lo que se hace se aprende más fácilmente que aquello que sólo se lee o estudia, es claro que las formaciones en el aula respecto de entrenamientos en seguridad y control no son la forma más adecuada para motivar la transformación de los comportamientos de los individuos. En este sentido, las prácticas dirigidas desde el hacer, que generen controversia y contradicción, permiten revelar las posiciones particulares de los educandos, generando un escenario dinámico donde la teoría y la práctica comparten un mismo escenario.

La acción educativa como propuesta sistémica de la formación en seguridad de la información, cambia el escenario artificial del aula como sitio donde se produce el aprendizaje, libera a los participantes del ejercicio de órdenes, obediencia y autoridad que provoca la relación estudiante-maestro, y habilita al individuo para que asuma su propia lectura de la realidad, reconociendo sus saberes previos, con el fin de provocar en él posiciones más maduras y críticas, fruto del aprendizaje que comparte cuando toma de decisiones con otros.

De modo que, la formación tradicional y escolarizada, ha demostrado generar resultados inestables y poco duraderos, como quiera que se restringe la creación de significados distintos para el conocimiento adquirido y la postura hegemónica que trae inscrita en su estrategia pedagógica, deslinda al individuo y sus saberes, tratando de imponer una realidad bajo parámetros establecidos.

Por tanto, si entendemos que el proceso de toma de decisiones es un aprendizaje en sí mismo (De Geus, 2011) y que la acción educativa se decodifica en este proceso, la formación que se plantee para cambiar los comportamientos de los individuos, particularmente en seguridad de la información, deberá llevar al participante en “la tesitura de la elección, de la decisión, (…) con el fin de que ejercite su capacidad crítica, valore cada una de las alternativas, y elija la que considere más adecuada, fundamentada en criterios de racionalidad y responsabilidad” (Colom y Núñez, 2005, p.135).

De esta manera, la acción educativa aplicada, ya no sobre la instrucción en seguridad de la información, sino desde una educación en seguridad de la información, que propicia escenarios alternativos donde el individuo se enfrenta a situaciones inciertas, inestables y cambiantes, para tomar decisiones adecuadas al contexto donde se encuentra, ajustadas moralmente a sus referentes axiológicos y asistidas por los saberes que ha apropiado en el ejercicio real de la protección de la información.

Construcción de confianza. Un ejercicio de aprendizaje en seguridad de la información
Un buen ejercicio educativo supone autoconstruir y reestructurar lo conocido, es decir, motivar una permanente lectura alterna de la realidad del entorno, para repensar y asumir la incertidumbre como fundamento de las actuaciones actuales y futuras. Un proceso de aprendizaje y desaprendizaje real, que cuestiona lo que hemos aprendido, nutre los saberes propios y reconecta la práctica con la teoría.

En este contexto, la realidad que asume la práctica de seguridad de la información en una empresa, siempre será plural, es decir “nunca tiene una causa única”, lo que significa que puede tener múltiples significados como personas puedan leer la situación y abordar su tratamiento. Así las cosas, al ser la seguridad de la información un ejercicio de reconstrucción social de la manera como cada individuo entiende y actúa frente a la protección de la información, su percepción, no solo es efecto de lo que ocurre, sino causa misma de lo que sucede.

Habida cuenta de lo anterior, no son sólo los cambios del entorno los que determinan la adaptación misma de la empresa frente a sus prácticas de seguridad y control, sino las pruebas no realizadas, las construcciones incompletas de la realidad que se han evitado terminar, las explicaciones que generan restricciones autoimpuestas y la ignorancia compartida de aquellos que se han convencido de porqué ciertas cosas no pueden hacerse o intentarse (Gore, 2012, p.67).

En consecuencia, sólo es posible movilizar cambios en las prácticas de seguridad y control, “si hay quien se atreva a instalar, aunque sea pequeñas modificaciones sostenidas en el tiempo” (Gore, 2012, p.35) de comportamientos distintos, que terminen siendo parte de la cotidianidad de la organización y sus actividades. Por tanto, lograr estos cambios demanda comprender que en cada toma de decisiones ocurre un proceso de aprendizaje, un proceso social que conecta la realidad de los participantes y permite hacer distinciones nuevas que amplíen el espectro conocido de su “saber hacer” y revelar las condiciones más trascendentes, afectadas por la calidad de los vínculos que estas tienen.

Como quiera que “cualquier desempeño individual remite a un desempeño colectivo en función del cual las contribuciones singulares cobran sentido” (Gore, 2012, p.43), la transformación de la práctica de la seguridad de la información inicia en la realidad de los individuos, en aquello que logran hacer diferente y descubrir a través de los “quiebres” de la realidad. Lo anterior, supone una incorporación de una competencia, que conecta el hacer, el pensar y el ser, permitiendo ensayos psicológicamente seguros, para cruzar los umbrales conocidos y crear nuevas propuestas para repensar sus propios fundamentos de la protección de la información.

Entendiendo que el aprendizaje es también una construcción social (Gore, 2012, p.142), las decisiones que se toman alrededor de la protección de la información deben traducirse en nuevas prácticas, las cuales deben ser aplicadas y reconocidas por aquellos que participan, así como por sus pares. Esto se convierte en un ejercicio de confianza que conecta actividades específicas del negocio y la misión de la empresa, con la evidencia que es requerida para corresponder con las expectativas que ésta tiene para el cumplimento de sus objetivos (Parenty, 2003).

De acuerdo con Perenty (2003, p.41) cuatro son los objetivos de confianza de las organizaciones:
  • Mantener la confidencialidad corporativa
  • Conocer sus contactos de negocio
  • Controlar la información y las transacciones
  • Validar las actividades realizadas y su información

Estos cuatro objetivos, en una “creciente densidad de conexiones digitales y la datificación de las actividades diarias” (Auricchio y Káganer, 2015) se difuminan de forma acelerada, como quiera que la dinámica de la realidad demanda condiciones flexibles de acceso, las cuales dan paso a una seguridad y control basado en el uso, lo cual comporta la experiencia y sabiduría digital del individuo para actuar en momentos y contextos inciertos, complejos y ambiguos, y así motivar una educación holística que reconozca la red interconectada de intereses corporativos, como el tejido digital y humano que nutre el desarrollo de la persona en lo intelectual, emocional, social, físico, creativo/intuitivo, estético y espiritual (Yus, 2001).

De donde se infiere que, la seguridad de la información no gravita sobre el reconocimiento y efectividad de las tecnologías de protección disponibles, sino en las posibilidades que se presentan cuando el aprendizaje en el tratamiento de la información implica acciones conjuntas de las personas, las cuales cambian el statu quo en contextos específicos. Esto es, configuran un sistema de protección de la información que no reside en los individuos, sino que es el patrón mismo de sus interrelaciones; una propiedad emergente que define una capacidad colectiva para comprender una situación dada y probar o falsear sus supuestos en la acción (Gore y Vázquez, 2010).

Dicho lo anterior, la acción educativa como propuesta de transformación de los comportamientos individuales en la protección de la información, parafraseando a Colom (2002) “debe iniciarse por la construcción del conocimiento de la práctica de la seguridad de la información, que es lo mismo que decir, por la construcción del conocimiento del estudiante”, con el fin de reconocer el proceso fundacional del saber individual, que permite desarrollar una propuesta académica, basada en situaciones contradictorias y abiertamente ambiguas, donde el estudiante tome las decisiones, basado en los significados construidos sobre su base de conocimiento y deconstruidas desde su contexto cultural.

Reflexiones finales
Si bien el resultado del estudio de Ponemon (2016), revela las limitaciones actuales de los programas de entrenamiento en seguridad y privacidad y sus recomendaciones apuntan a una combinación de estos, basados en el juego y la práctica lúdica, con una cultura de “garrote y zanahoria” donde los ejecutivos sean el ejemplo del reconocimiento de los riesgos propios de la inadecuada protección de la información, no orienta sobre prácticas concretas que cambien la lectura mecánica del entrenamiento actual, el cual claramente no conecta el saber y el hacer, creando un imaginario parcial y desarticulado de la forma como un individuo debe proteger la información.

Es por esto, que se introduce la acción educativa, como una propuesta sistémica de formación, que reconecta las parcelas del saber y el hacer en un mismo escenario, donde el individuo se hace uno con el entorno, y es capaz de reconocerse como parte del todo. Esta perspectiva, aplicada el mundo de la seguridad de la información, releva a la instrucción plana que se ha acuñado en las organizaciones, para crear escenarios de quiebre y cambio conceptual en las personas, para que tomen decisiones en entornos tanto conocidos como volátiles, inciertos, complejos y ambiguos.

Si aceptamos que “educar es una actividad destinada a que un hombre pueda realizarse, y que se puede entender como un sistema, pero un sistema dinámico, interactuante, que afecte incluso su propio devenir” (Colom, 1987) la formación en la empresa sobre la seguridad de la información, desde la acción educativa, debe llevar a la organización a ser un ámbito de aprendizaje. Esto es, enseña a sus colaboradores a trabajar en equipo, comparte y se nutre de los significados de sus lecciones aprendidas, motiva el pensamiento innovador frente a las exigencias del entorno y asume el error como parte del proceso de construcción de conocimiento (Gore, 2015).

Luego, el entrenamiento en seguridad de la información deja de ser una tarea más que se debe cumplir en el plan de desarrollo individual y se convierte en una oportunidad para aprender en la práctica, donde la teoría se hace realidad, desde el ejercicio real de confrontación de las situaciones particulares.

Lo anterior supone permitir a los participantes darse una idea de cuál es el imaginario de su práctica, sorprenderse respecto de la realidad que debe asumir, construir nuevas posturas que privilegien el bien general sobre el particular y finalmente apropiar distinciones inexistentes que superan el desafío inicial y ahora se vuelve parte del conjunto de saberes del individuo.

En definitiva, la acción educativa debe motivar la reflexión en la acción, que no es otra cosa que la síntesis del conocimiento en la acción, un movimiento teórico-práctico que ofrece pautas de transformación del comportamiento en el hacer, a través de un diálogo con la realidad, que exige simbolizar y socializar los significados que se construyen sobre los conocimientos adquiridos.

Por consiguiente, para la seguridad de la información, la acción educativa constituye un reto de construcción colectiva, que asume el aprendizaje como una ruta de construcción de confianza, la cual se alcanza no sólo en el cumplimiento perfecto de los procedimientos y normas de seguridad y control, sino en el ejercicio imperfecto de la toma de decisiones frente escenarios adversos, complejos y ambiguos.

Referencias
Auricchio, G. y Káganer, E. (2015) Cómo la digitalización está cambiando la formación directiva. IESE Insight. Tercer trimestre. 26
Castillejo, J. L. (1987) Pedagogía tecnológica. Barcelona, España: Ediciones CEAC.
Colom, A. (1987) La metodología cibernética. En Colom, A. y Castillejo, J. L. (1987) Pedagogía sistémica. Barcelona, España: Ediciones CEAC. 65-80.
Colom, A. (2002) La (de)construcción del conocimiento pedagógico. Nuevas perspectivas en teoría de la educación. Barcelona, España: Paidos.
Colom, A. y Núñez, L. (2005) *Teoría de la educación. Madrid, España: Editorial Síntesis.
De Geus, A. (2011) La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento. Buenos Aires, Argentina:Gránica.
Gore, E. (2012) El próximo management. Acción, práctica y aprendizaje. Buenos Aires, Argentina: Gránica.
Gore, E. (2015) La educación en la empresa. Aprendiendo en contextos organizativos. Tercera Edición. Buenos Aires, Argentina: Gránica.
Gore, E. y Vázquez, M. (2010) Hacer visible lo invisible. Una introducción a la formación en el trabajo. Buenos Aires, Argentina: Gránica.
Perenty, T. (2003) Digital defense. What you should know about protecting yur company’s assets. Boston, Massachussets. USA: Harvard Busines School Press.
Ponenom (2016) Managing insider risk through training and culture. Recuperado de: http://www.experian.com/assets/data-breach/white-papers/experian-2016-ponemon-insider-risk-report.pdf
Yus, R. (2001) Educación integral. Una educación holística para el siglo XXI. Bilbao, España: Desclée de Brouwer S.A. 

lunes, 9 de mayo de 2016

¿Dónde ubicar la función de seguridad y control de la información en las organizaciones modernas? Una decisión multidimensional y evolutiva

Una de las preguntas que con frecuencia se hacen las organizaciones y en general las personas que trabajan en seguridad de la información es ¿dónde debe ir ubicado el ejecutivo de seguridad de la información? Una inquietud que no sólo tiene implicaciones prácticas para el ejercicio de la función de seguridad y control de la organización, sino exigencias corporativas, económicas y políticas que las empresas deben asumir y comprender para definir qué tan importante es la protección de la información y cómo se entiende en el desarrollo de su modelo de generación de valor (Choudhary, 2015).


Figura 1. Evolución de la función de seguridad de la información (Autoría propia)

Una primera aproximación para dar respuesta a esta pregunta, la podemos ver en la evolución de la función de seguridad de la información (ver figura 1). En los años 60 y 70 la seguridad de la información estaba concentrada en el desarrollo y aplicación de controles tecnológicos de control de acceso, los cuales aún tenemos en la actualidad. Esta connotación técnica ubicaba a la función en el escenario de las áreas de tecnología de información, pues los especialistas del tema estaban allí y conocían bien la manera de configurarla para asegurar el acceso a la información a las personas y programas autorizados (Department of Defense, 1970).

Luego con la llegada de internet, durante los 80 y 90, la seguridad de la información se observa desde la vista de procesos y riesgos, es decir, la comprensión de la inevitabilidad de la falla se incorpora en la dinámica de las actividades de la empresa, ubicando a la información en un lugar visible y con impactos particularmente claves, motivando reflexiones adicionales que sacan a la seguridad de un lindero eminentemente tecnológico, para leerlo a la luz de los resultados propios de la realización de las funciones del negocio.

Ahora no es solamente que tan bien está configurado el control de acceso, sino comprender los impactos de una gestión inadecuada de los riesgos que se identifican en los procesos, lo cual ubica al área de seguridad en la lectura de los dominios de los sistemas de riesgo empresariales.

Entrado el nuevo milenio y su primera década, el tema de la seguridad y control evoluciona hacia un lugar más empresarial, se incorpora dentro de las exigencias de cumplimiento regulatorio, como quiera que el ejercicio empresarial en el contexto de una sociedad de la información y el conocimiento, demanda una serie de condiciones básicas para aumentar la confianza de los clientes y proteger el valor de los inversionistas. La proliferación de normas con exigencias de protección y aseguramiento de información, elevan la discusión de la seguridad al escenario del satisfacer requerimientos por los cuales las empresas pueden o no pertenecer a un grupo particular.

En este sentido, no son solo los controles tecnológicos, ni la gestión del riesgo sobre el inadecuado tratamiento de la información, sino ahora las implicaciones sobre los reguladores por incumplimientos de las normas y estándares que generan confianza a los terceros interesados, llevando a la función de seguridad a los dominios de las áreas de cumplimiento.

Con la modificación acelerada del mundo a través de la tecnología, que revela una sociedad digitalmente modificada hacia 2020, donde el flujo de información se percibe con mayor claridad en los nuevos productos y servicios de las “cosas conectadas”, estamos entrando en una nueva revolución industrial donde de forma instantánea tenemos información sobre el estado de las cosas y las personas. Una realidad que experimenta cambios y se ajusta conforme las personas actúan y se relacionan con otras. En este escenario, la seguridad de la información se convierte en un valor fundamental, en una exigencia necesaria y mandatoria que permita a las personas mantenerse conectadas con la tranquilidad que su “realidad digital”, representada en todo lo que recibe y transmite, se mantiene dentro del dominio de experiencia que ellas han declarado compartir (Porter y Heppelmann, 2015).

Así las cosas, la protección de la información no sólo se traduce en medidas tecnológicas al interior de la organización, orientadas por una gestión de riesgos y controles propios de los procesos, que asisten las exigencias de cumplimiento normativo nacionales e internacionales, sino que ahora deben concretar elementos de protección más allá de los límites empresariales y asegurar que los productos y servicios que consumen sus clientes funcionen de tal manera que no permitan que una falla al interior de los mismos comprometa o afecte la esfera personal y familiar de los mismos. Por tanto, pasamos de una distinción de protección de afectaciones que vienen del exterior a mantener una operación interna de productos y servicios confiable, que funcione y sobreviva a pesar de los ataques externos (Bughin, Lund y Manyika, 2016).

En este contexto, la función de seguridad de la información adquiere mayor visibilidad y sensibilidad por parte de los clientes y por tanto de los ejecutivos de la empresa, generando mayor necesidad de conocimiento de los avances y prácticas de protección tanto al interior de la operación de la empresa, como en los procesos de producción y fabricación de los productos y servicios, habida cuenta que un falla generalizada en un uno de ellos, no solo tiene alcances técnicos sino repercusiones económicas, sociales, políticas y administrativas; en pocas palabra se hace evidente las relaciones sistémicas que la empresa mantiene con su entorno y cómo éste afecta la manera como ella desarrolla su actividad económica (De Geus, 2011).

Bajo este escenario la función de seguridad y control, se especifica a través de lo que se denomina riesgo “ciber”, una categoría que no solo concreta lo tecnológico como tal, sino como la integración o convergencia entre lo físico y lo lógico cambia la forma como entendemos la relación entre la empresa y los clientes, así como la manera en que se conciben los impactos dentro y fuera de la organización. Lo “ciber” conecta a la empresa en un espacio de relaciones hacia el exterior, para entender cómo ella y sus operaciones afectan a otros y cómo los otros y sus actividades concretan efectos en su desarrollo de negocio (Frappolli, 2015).

En consecuencia, la función de seguridad de la información eleva su discurso de cumplimiento a una lectura de valor para el negocio, de implicaciones políticas para los miembros del directorio, de impactos en las expectativas de los clientes y sobremanera en la supervivencia de la empresa en un entorno digital. Con esta lectura, el ejecutivo de seguridad deberá madurar y desarrollar un discurso políticamente correcto, que, asistido por su conocimiento del entorno, como buen estratega que debe ser, ilustra la forma como superar el laberinto de las amenazas emergentes de este entorno, comprometiendo las voluntades de los directores de la junta para concebir una lectura conjunta de estrategia corporativa digitalmente sostenible, a pesar de la inevitabilidad de la falla, que en últimas lo que significa es construir confianza y ofrecer orientación para concretar una estrategia empresarial (Cano, 2015).

Bajo este entendimiento, la función de seguridad de la información no estará atada a las connotaciones técnicas de los dispositivos tecnológicos, ni a las normas o riesgos particulares de las plataformas, sino a las lecturas ejecutivas que definen el futuro de las empresas. Las discontinuidades del entorno, particularmente basadas en estrategias digitales, se transforman en eventos relevantes que alteran la realidad empresarial y que son leídos por los miembros de la junta como eventos para revisar, bien como oportunidades o amenazas, donde el ejecutivo de seguridad y control, hace parte de la vista valiosa que define el posicionamiento de la empresa entre los clientes (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015).

Otros análisis efectuados por firmas de consultoría internacionales (Rose, 2012; Scholtz, 2014) y estudios de industria (Veltsos, 2016) establecen otros factores adicionales para establecer dónde se debe ubicar el área de seguridad de la información. Entre los elementos que estos estudios indican están la madurez de la organización en su sector de negocio, el nivel de cercanía con el área de tecnología de información, el lenguaje de negocio que utiliza el ejecutivo de seguridad para comunicarse con la junta, la complejidad del reporte de cumplimiento empresarial, las tensiones entre el área de riesgo y cumplimiento, entre otras, los cuales advierten relaciones claves que de igual forma deben considerarse para tomar la decisión de ubicar esta área.

Cualquiera que sea la ubicación que se defina, habrá que tener claridad de las bondades y limitaciones del enfoque que se decidido, esto es, cómo estará afectada la visibilidad del área, cómo serán las relaciones necesarias con el área de tecnología de información, qué sintonía debe desarrollar con las áreas de negocios y la necesidad para alcanzar resiliencia en su operaciones, qué lenguaje será el más adecuado para comunicar su promesa de valor, cómo será el perfil de sus analistas de seguridad y control, el alcance de su labor empresarial: seguridad, privacidad, ciberseguridad, fraude, seguridad física, seguridad electrónica, las relaciones con los entes de control, instituciones de estándares y buenas prácticas, así como con los supervisores de su sector y el gobierno.

Por tanto, ubicar organizacionalmente el área de seguridad de la información en una empresa, en un escenario volátil, incierto, complejo y ambiguo (Johansen, 2009), deberá reconocer las oscilaciones estructurales que la dinámica empresarial exhibe y la necesidad de agilidad permanente frente a sus competidores, para desarrollar una capacidad de aprender y desprender de forma acelerada, por lo cual deberá tener en cuenta los siguientes aspectos:
  • Ser lento es especialmente peligroso en un mundo de frecuentes cambios.
  • Es necesario experimentar permanentemente con la realidad. Por tanto, fallar de forma segura todo el tiempo debe ser la norma.
  • El temor a los riesgos impregna los procesos de pensamiento de los ejecutivos. La audacia de las opciones creativas requiere quebrar estándares conocidos y hacer apuestas sobre entornos inestables.
  • Las negociaciones entre seguridad y funcionalidad no pueden ser opciones exclusivas de atajos de tiempo hacia el futuro, sino opciones de riesgos calculados e informados para concretar oportunidades.
  • La función de seguridad y control no es un ente pasivo manipulado por fuentes externas, por lo que no puede ser explicada solamente por relaciones causa-efecto.

Referencias
Bughin, J., Lund, S. y Manyika, J. (2016) Five priorities for competing in an era of digital globalization. Mckinsey Quarterly. Mayo. Recuperado de: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/five-priorities-for-competing-in-an-era-of-digital-globalization
Cano, J. (2015) Juntas directivas. Descifrar e influenciar su imaginario vigente sobre la seguridad de la información. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2015/08/juntas-directivas-descifrar-e.html
Choudhary, U. (2015) This Might Be The Next Coveted Leadership Position Of 2015. F@stcompany Magazine. Recuperado de: https://www.fastcompany.com/3043376/how-to-earn-respect-from-the-hottest-seat-in-leadership-today
De Geus, A. (2011) La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento. Buenos Aires, Argentina: Gránica.
Department of Defense (1970) Security controls for computer systems (U). Report of Defense Science Board Task Force on Computer Security. Febrero. Recuperado de: http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf  
Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.
Rose, A. (2012) Role Job description: Chief information security officer. Forrester Research.
Scholtz, T. (2014) Determining Whether the CISO Should Report Outside of IT. Gartner Research.
Veltsos, C. (2016) Is Your CISO Out of Place? Recuperado de: https://securityintelligence.com/is-your-ciso-out-of-place/