domingo, 5 de febrero de 2012

El negocio de la seguridad de la información: ¿Qué vende la función de seguridad de la información?

Introducción
Generalmente cuando hablamos de un negocio, hablamos de producir algún tipo de bien o servicio que satisface una necesidad existente o creada, por lo cual cobramos y obtenemos algún beneficio bien sea tangible o intangible. Cuando interrogamos a los miembros de una organización cualquiera que esta sea, una pregunta básica que se nos ocurre es, ¿qué hace la compañía para la que trabajas? O dicho de otra forma, ¿qué vende la empresa para la cual prestas tus servicios? Respuesta que no se da de manera fluida o concreta y que generalmente no responde con claridad sobre el negocio que ésta desarrolla.

Tener claridad sobre el modelo de negocio que se desarrolla en una organización es encontrar la fuente de la sabiduría empresarial; es decir, establecer alternativas desequilibrantes y únicas que permiten a la compañía destacarse en su entorno y tomar ventaja de las condiciones que su contexto le marca, buscando anticiparse todo el tiempo para estar un paso delante de sus competidores.

Un modelo de negocio requiere antes que una estructura formal o conceptual probada, una visión, una pasión, un gusto y una forma diferente de ver el mundo, que le permita a su creador una manera para darle forma a una idea o pensamiento, un camino para desarrollar su intelecto y una oportunidad para armar un rompecabezas de retos que su propio sueño le impone. Un creador de negocios sabe que tendrá muchas cosas a su favor y otras tantas en contra, que deberá tener buen criterio para recibir las consideraciones de sus contradictores y, buen olfato para tomar riesgos calculados y así obtener lo que quiere.

En este contexto, los responsables y ejecutivos de la seguridad de la información en las empresas modernas, deberían asistir a la revelación del modelo de negocio que se esconde detrás de la función de seguridad de la información. ¿Qué es lo que vende el área de seguridad de la información? Para responder esta pregunta, en el entendido que somos dueño de un negocio y que debemos obtener utilidades, vamos a revisar las reflexiones de un reciente artículo publicado en el Sloan Management Review de la Escuela Sloan de Administración de Negocios del MIT, que establece una plantilla base para hacer evidentes los modelos de negocio.

¿Qué es un modelo de negocio?
Los académicos SINFIELD, CALDER, McCONNELL y COLSON (2012) del MIT establecen un conjunto base de preguntas para revelar la fuente misma del negocio, como insumo base para repensarlo y hacerlo evolucionar hacia nuevas fuentes de utilidad y desequilibrio requerido para posicionar a una empresa en su mercado. Las preguntas sugeridas son:

• ¿Quién es nuestro cliente objetivo?
• ¿Cuál es la necesidad que debemos satisfacer?
• ¿Qué debemos ofrecerle para satisfacer su necesidad?
• ¿Cómo nuestro cliente tendrá acceso a nuestra oferta?
• ¿Dónde debemos operar en la cadena?
• ¿Cómo obtendremos las ganancias?

Si miramos cada una de las preguntas, todas ellas buscan determinar con claridad aquello que debe movilizar los esfuerzos de los dueños de los negocios. Todo dueño está interesado en que su forma de hacer negocios tenga los resultados esperados y por tanto, estará atento en potenciar los recursos que tiene a su alcance para satisfacer los retos que su entorno le propone y cumplir con los requerimientos más exigentes de sus clientes. Así las cosas, detallamos a continuación algunas reflexiones que nos permitan tratar de responder la pregunta ¿qué vende la función de seguridad de la información - fsi?

Entendiendo el modelo de negocio de la seguridad de la información
En primer lugar, los clientes de la fsi son claros en cualquier organización: la alta gerencia, la gerencia media, los empleados de la empresa y sus grupos de interés. Cada uno de ellos tiene necesidades particulares y relacionadas entre sí, que deben ser analizadas y detalladas para entender cómo sacar las mejores ganancias en la aplicación del modelo de negocio de la seguridad de la información.

Como quiera que la fsi, considerando su nivel de madurez corporativa, puede estar articulada en el más alto nivel o asociada con una vista eminentemente tecnológica, tema que está fuera del alcance de este documento, se hace necesario conocer en profundidad qué moviliza el tema en cada una de las audiencias identificadas, su entendimiento a nivel empresarial y el discurso práctico que hace eco en las actividades cotidianas de cada uno de ellos.

Etimológicamente hablando la palabra necesidad establece dos ideas: la falta de algo indispensable para la vida o el motivo irresistible de alguna acción. (Tomado de: http://etimologias.dechile.net/?necesidad) En este sentido, intentemos encontrar esa “falta de algo o motivo irresistible” que hace que las diferentes audiencias encuentren en la seguridad de la información esa materia de conocimiento relevante para el negocio.

Para responder este reto, consideremos una reflexión por el complemento, ¿qué sucede cuando se materializa la inseguridad, cuando los riesgos se materializan? Generalmente ocurre la pérdida de confianza, de serenidad, se incrementa la incertidumbre natural del entorno y por tanto, se requiere tener mayor información de lo sucedido para comprender con detalles aquello que “no debió ser” pero que naturalmente ocurre: la inevitabilidad de la falla. No hay ninguna condición en el mundo que no esté sujeta a riesgos o a la inseguridad, por tanto, todo aquello que nos permite establecer y reconocer estados conocidos, será una forma de validar una sensación de control requerida frente a una situación.

En consecuencia, la alta gerencia de una empresa, en su empeño por mantener a flote el negocio, debe establecer un conjunto de variables y condiciones que le permitan un ambiente estable y tranquilidad relativa, es decir una posición vigilante, para avanzar en medio de sus retos corporativos. En este escenario, la información es una razón suficiente para tener motivos de incertidumbre, un motivo irresistible que enmarca el corazón de la toma de decisiones y las posiciones estratégicas de la empresa. Si esto es así, la fsi debe comprender las raíces de estos motivos y confrontar los dilemas de control que se manifiestan, bien por exposición a terceros, regulaciones e implicaciones económicas, como por impactos en la moral y comportamientos de sus empleados.

La confianza es entonces, un motivador fundamental de los ejecutivos de más alto nivel, que en procura de mantener en curso las estrategias de negocio, para materializar su modelo asociado, requieren que la información se mantenga dentro de los parámetros de confiabilidad propios del entorno de competencia y así mantener controlados los riesgos emergentes de sus relaciones con sus grupos de interés.

Por tanto, como bien dicen la sabiduría popular y la experiencia propia, la confianza tarda mucho en construirse y poco para perderla. En consecuencia, la seguridad de la información es una apuesta para edificar una respuesta a una condición de inseguridad permanente, con el fin de instaurar una esperanza de un comportamiento repetitivo que limita la materialización de una condición indeseada. Ahora bien, si ésta última se materializa, deberá haber una reacción coherente y decisiva que trate de controlar efectivamente los impactos sobre los “bonos” de confianza construidos.

Elementos base de la confianza en seguridad de la información
La competencia y la credibilidad son los elementos más destacados en la construcción de confianza. Estas condiciones, propias de la dinámica de los negocios, particularmente de la seguridad, son requisitos fundamentales de la operación de la función de seguridad de la información. La competencia habla de las habilidades y conocimiento específico aplicado, que se traduce en acciones prácticas visibles y evidenciables, que muestra en el profesional de seguridad de la información, la claridad conceptual y prudencia de sus acciones. La credibilidad es esa propiedad emergente que está fundada en el carácter de la persona, en la forma coherente y real en que toma decisiones basado en sus valores y principios.

En la seguridad de la información, los ejecutivos responsables de ella, deberán acrecentar su credibilidad con resultados concretos y percepciones positivas sobre el manejo de los activos de información, sobre la sabiduría para asegurar la operación de la empresa y la forma en que deben actuar cuando la inevitabilidad de la falla se presenta. La confianza antes, durante y después de la materialización de una falla parcial o total, define mucho el carácter de este ejecutivo, mide su nivel de preparación y valida su capacidad de toma de decisiones frente a situaciones críticas.

Es claro que no es necesario este tipo de situaciones reales para confrontar y validar los niveles de experiencia y capacidad de reacción de los ejecutivos de la seguridad, sino el nivel de preparación e interiorización que la cultura organizacional tiene frente a los incidentes, sus lecciones aprendidas y el refuerzo permanente de sus prácticas frente al tratamiento de la información.

De acuerdo con lo anterior, los altos ejecutivos de la empresa requieren métricas, estudios comparativos, auditorías independientes que permitan comprender cómo la organización se prepara para asumir el reto de los riesgos de seguridad de la información, buscando reducir la incertidumbre propia de un ambiente hostil, dinámico e impredecible que tienen los negocios actuales.

El negocio de la seguridad de la información está cercado por “depredadores” de confianza que buscan en cada momento doblegar sus fuerzas y desdibujar sus victorias previas, para infundir temores y preocupaciones en el colectivo que se quiere posicionar. Por tanto, la promesa de valor y el despliegue de la misma en las organizaciones, no puede ser otra cosa que una vista activa, propositiva y anticipatoria que busca adelantarse a los riesgos y situaciones propias de las operaciones para vivir con el “mínimo de paranoia bien administrado” que destruya la “falsa sensación de seguridad”.

La información: elemento fundamental del negocio de la seguridad de la información
Si entendemos que “una corporación no puede darle forma o controlar información (expuesta en las redes sociales, publicidad, ponderaciones de calidad o consideraciones regulatorias), sólo puede usarla; y debe integrarla con el fin de darle sentido (…)” (CORTADA 2011, pág 76), el negocio de la seguridad de la información encuentra en esta frase, la forma de darle respuesta a otra de las preguntas sugeridas por los teóricos del MIT, ¿dónde debemos operar en la cadena?

El negocio de la seguridad de la información debe operar en diseño de la estrategia corporativa y en la articulación de los planes tácticos, de tal forma que entendiendo la forma como se configura la generación del valor del negocio y cómo se despliega en cada uno de las áreas de negocio, entender esa “falta de algo” que se manifiesta en el tratamiento de la información dentro y fuera de la organización. En este sentido, cuando la seguridad de la información, articula y moviliza el valor de las estrategias corporativas, es capaz de capitalizar las más altas utilidades de su modelo (el de su negocio).

Por tanto, debemos pasar de una vista eminentemente tecnológica y de implementación (que es clave y relevante para hacer del modelo de negocio una realidad) a una asistida por servicios que renueven el entendimiento del mercado en el cual opera la organización, revelen patrones de comportamientos y condiciones regulatorias que impacten la empresa y por qué no, desarrollen ideas diferenciadoras desde la confianza con los terceros y grupos de interés, para crear un desequilibrio estratégico en su mercado creando condiciones que permitan negocios flexibles basados en una aproximación de riesgos calculados.

Amén de lo anterior, si en la información encontramos los movilizadores que articulan el modelo de negocio de la seguridad de información, todas aquellas actividades que verifiquen la confianza de los ejecutivos de las empresas serán un posible nicho de generación y articulación del valor propio del modelo de seguridad de la información. En este sentido, aspectos como el cumplimiento normativo, cifras confiables, operaciones confiables, comportamientos adecuados frente a la información y sistemas de información confiables son temas que deberán ser objeto de análisis y reflexiones para plantear la estrategia del negocio de la seguridad, buscando generar las utilidades requeridas para mantener la viabilidad de dicho negocio, en la función de seguridad de la información de una empresa.

“Si la habilidad para cambiar es ahora más importante, que la habilidad para crear e innovar (…)” (MULHOLLAND, A., PYKE, J. y FINGAR, P. 2010, pág.182) es natural que las organizaciones encuentren en las prácticas de seguridad y control, elementos fundamentales que les permitan avanzar con celeridad y claridad de un estadio a otro, pues si bien allí, existen estrategias formales y estrictas para asegurar una transición adecuada de un estado a otro, también están las condiciones particulares de cada organización, que reconociendo su nivel de riesgo y exigencias normativas, son capaces de adaptar las mismas y lograr los balances requeridos entre confiabilidad y agilidad empresarial para tener una posición estratégica privilegiada.

Reflexiones finales
Estamos en un contexto empresarial dinámico asistido por tendencias tecnológicas que retan los planes estratégicos organizacionales. La computación en la nube, las tecnologías móviles y las redes sociales establecen nuevas oportunidades y amenazas para las organizaciones, y por tanto, la seguridad de la información deben ser el aliado estratégico de la gerencia, para sacar el mayor provecho a las potencialidades de las mismas.

No podemos alcanzar mayores niveles de confiabilidad empresarial, entendida esta desde la perspectiva de la seguridad y calidad de la información, sino somos capaces de generar la suficiente confianza en cada uno de aquellos elementos que son de interés por parte de la alta gerencia. La sensación de confianza que podamos construir, el tratamiento adecuado de la información cada uno de los procesos de negocio de la empresa y el reconocimiento tanto interno como externo de dicha condición, deberá se parte de la agenda del ejecutivo a cargo de la seguridad de la información.

El negocio de la seguridad de la información tendrá sus mayores utilidades y dividendos, cuando sea capaz de reinventarse a sí mismo en cada proceso de negocio, cuando logre incorporar de manera consistente y evidente comportamientos confiables en el manejo de la información en los empleados de las empresas, cuando fortalece su posición vigilante y proactiva frente a los incidentes que se le materialicen, cuando el capital de confianza que ha construido se verifique y consolide con victorias tempranas y pronósticos confiables, que le permitan a su dueño, cumplir la promesa de valor a sus clientes y hacer de sus actividades, conversaciones de las juntas directivas.

Entender la seguridad de la información como un negocio, es vender un intangible que encuentra su referente en la experiencia, historia y práctica de los individuos, en las exigencias normativas y en el nivel de percepción de los riesgos, en pocas palabras, en una esfera social y psicológica que apenas iniciamos a descubrir y que requiere entender la complejidad, es decir la variedad de condiciones y estados de las personas, procesos y tecnologías, para revelar y consolidar el lenguaje político y estratégico que requiere dicho negocio para ser un actor fundamental en la construcción del futuro de las empresas.

Referencias
SINFIELD, J., CALDER, E., McCONNELL, B. y COLSON, S. (2012) How to identify business models. Sloan Management Review. Vol.53, No.2. Winter.
CORTADA, J. (2011) Information and the modern corporation. MIT Press.
MULHOLLAND, A., PYKE, J. y FINGAR, P. (2010) Enterprise cloud computing. A strategy guide for business and technology leaders. Meghan-Kiffer Press.

1 comentario: