domingo, 27 de mayo de 2012

La inseguridad de la información y las juntas directivas: ¿Déficit de atención?



Cuando se le pregunta al área de seguridad de la información ¿cómo avanza en su proceso de desarrollo de cultura de seguridad de la información?, la respuesta tiene varios matices. Por un lado, se advierte una clara motivación en las áreas de negocio en general, pues luego de cuestionar sus creencias sobre el tema, se transforma su hacer, lo cual permite movilizar más rápido las prácticas que se desean incorporar. Por otro, no es la misma lectura cuando se trata del entrenamiento requerido de los ejecutivos, quienes con agendas altamente comprometidas, generalmente no cuentan con el tiempo para atender este tipo de actividades.

Así las cosas, los esfuerzos de las áreas de seguridad de la información encuentran un alto potencial de acción en los diferentes frentes de los procesos de negocio, pero poco margen en los directivos que los soportan. La pregunta que nos podemos hacer en este momento sería ¿qué es lo que impide que los ejecutivos se encuentren más de cerca con los riesgos propios del tratamiento de la información?

Para tratar de responder esta pregunta, es preciso indagar un poco sobre la evolución de las juntas directivas y sus composiciones, en donde posiblemente subyace parte de la respuesta y la forma como movilizar estrategias que permitan hacer evidente la inseguridad de la información como parte de su agenda de negocios.

Las juntas directivas son entes de gobierno, poder y decisión que durante mucho tiempo han sido constituidas por personas preocupadas por los negocios, sus márgenes y las relaciones políticas que trazan el destino de las organizaciones. Ellas en sus sesiones de trabajo, mantienen un clima de reto y construcción colectiva, que busca todo el tiempo mantener la vigencia de la organización en medio de las tensiones de los mercados y los inesperados cambios de entorno que ponen a prueba la capacidad de resiliencia de la empresa.

Las juntas directivas reconocen aquellos elementos claves que permiten a las empresas mantenerse operando y viables con sus modelos de negocio. Es claro, que la cultura de riesgos es un lenguaje que ha encontrado eco en la agenda de las juntas, toda vez que en ellos no solamente se advierten situaciones que deben ser ajustadas o revisadas, sino posibles oportunidades que resultan invisibles frente a los resultados.

Los riesgos como pueden ser los de fuga y/o pérdida de información, cumplimiento, responsabilidad frente a incidentes y acceso a la información personal son elementos que inquietan a los miembros de junta, no por sus efectos directos e indirectos de las acciones en sí mismas, sino por las implicaciones legales que esto puede generar para el buen funcionamiento de las operaciones. En este sentido, la lectura asociada con sanciones o multas que se puedan derivar de estas situaciones, tendrá prioridad en la agenda de la junta, para asignar las responsabilidades correspondientes y cerrar la posible brecha que se ha identificado.

Según el estudio de HUFF et all, existe un déficit de atención de las juntas directivas hacia los temas de tecnología de información, tema que con frecuencia está asociado con un vocabulario técnico, que es reactivo frente a auditorías y con reporte del estado de grandes proyectos (generalmente cuando éstos no van bien), lo cual claramente establece una “barrera” mental de los ejecutivos (generalmente con escasa formación en tecnologías de información) frente a los retos y decisiones que requiere la organización para apalancar la estrategia de negocio.

Estos académicos establecen la necesidad de “alfabetizar” a los miembros de junta frente a los temas de tecnología de información y los riesgos que se derivan del uso de las mismas en las organizaciones. En este sentido, la atención de las conversaciones con la junta alrededor del tema de TI generalmente inician por sus riesgos (disponibilidad, seguridad, integridad de los datos y agilidad) y terminan (en el mejor de los casos) en los referentes estratégicos requeridos para transformar la empresa.

En consecuencia, las juntas directivas, si bien tienen en cuenta los temas de tecnologías de información, aún tienen oportunidades para interiorizar y comprender en contexto, lo que la tecnología puede posibilitar y el compromiso ejecutivo requerido para motivar y movilizar los resultados que la empresa espera, en los cuales su entendimiento de la tecnología es fundamental para hacer que las cosas pasen.

Con esto en mente, no es de extrañar el resultado que recientemente se ha publicado por el Carnegie Mellon University (CMU) Cylab, en su informe “Governance of Enterprise Security”, que revela, que si bien la juntas directivas están orientadas hacia la administración de los riesgos empresariales, existe aún una brecha en el entendimiento de la relación entre los riesgos de tecnología de información y los corporativos, situación que se profundiza con un sentir generalizado, donde el tema de seguridad de la información, está en manos de un responsable y no son ellos, los primeros implicados frente a los eventos que afecten la información de la empresa o de terceros.

De otra parte, el mismo estudio establece que el equipo directivo no está focalizado en aquellas actividades claves que pueden ayudar a proteger la organización frente a la materialización de riesgos importantes que afecten su reputación o generen pérdidas financieras. Los casos particulares están asociados con acceso a la información personal, brechas de seguridad en los sistemas o fuga de información, eventos que de una u otra forma serán prueba para validar el nivel de preparación de la corporación para enfrentar la inevitabilidad de la falla.

En línea con lo anterior, el informe comenta que las juntas directivas no han dado prioridad para establecer posiciones organizacionales para el manejo de adecuado de la seguridad y la privacidad de la información, dos temas independientes, que requieren manejos separados, pero convergentes en prácticas y acciones que permitan en cada uno de los procesos de la empresa, el gobierno de la seguridad de la información y el aseguramiento de los derechos individuales en el uso y acceso a la información personal.

De otra parte, el reporte detalla que muchas juntas directivas no han evaluado lo adecuado de una cobertura del riesgo de ciberseguridad, de las implicaciones de ataques coordinados y focalizados que puedan comprometer su operación, su reputación y debido cuidado, lo cual claramente deja abierta la posibilidad de acciones de repetición de terceros contra la empresa generando impactos financieros de mediano y largo plazo, cuyos efectos inmediatos posiblemente no se compadecen frente a las demandas futuras.

Si bien, los académicos de CMU, comentan que cada vez más los ejecutivos de primer nivel valoran la experiencia y habilidades en temas de seguridad y riesgo de TI al considerar un nuevo integrante de la junta, es evidente que los temas en la actualidad se amparan en los comités de gerencia establecidos, bien de auditoría o de riesgos, los cuales concentran su atención en los impactos particularmente financieros y de cumplimiento, como formas de motivar la atención de los directivos.

En conclusión, podemos advertir, como en el estudio de HUFF et all, que existe un déficit de atención de las juntas directivas en el tema de riesgos y seguridad de la información, que claramente afecta el desarrollo y posicionamiento del tema en las empresas que aspiran a ser clase mundo y moverse en medio de las exigentes condiciones de operación y relacionamiento que impone un mundo de información instantánea y continuamente en movimiento.

Por consiguiente, se requiere una renovación y reinterpretación de la seguridad de la información en clave ejecutiva, que permita profundizar el entendimiento actual de las juntas directivas, para incorporar al lenguaje de los negocios, una forma particular de hacer evidente las bondades y valor de las prácticas de la seguridad de la información, más allá de su connotación de cumplimiento y sus impactos frente a brechas de seguridad.

Así las cosas, el informe de CMU Cylab establece una serie de recomendaciones para ir transformando la situación actual hacia un estado más proactivo y ejecutivo que permita continuar incorporando la vista de seguridad de la información y la protección de los datos personales como un referente del negocio. Dentro de las recomendaciones están:
  • Establecer un Comité de Riesgos separado del comité de Auditoría y asignarle la responsabilidad del seguimiento de los riesgos de la empresa, incluyendo los riesgos de TI. Reclutar directores de TI con experiencia en gobierno de TI, riesgos y seguridad de la información.
  • Asegúrese de que la privacidad y las funciones de seguridad dentro de la organización estén separadas y que las responsabilidades están debidamente asignadas. El CIO (Chief Information Officer), CISO (Chief Information Security Officer) / CSO (Chief Security Officer), y CPO (Chief Privacy Officer) deben informar de manera independiente a la Junta Directiva.
  • Evaluar la estructura organizacional existente y establecer un equipo inter-organizacional que mantenga un monitoreo y reporte periódico sobre la privacidad y la seguridad. Este equipo debe incluir los altos ejecutivos de áreas como recursos humanos, relaciones públicas, jurídica, y adquisiciones, así como CFO (Chief Financial Officer), el CIO, CISO / CSO, CRO (Chief Risk Officer), el CPO, y los ejecutivos de las líneas de negocio.
  • Adelantar un examen de nivel superior de las políticas empresariales para crear una cultura de seguridad y respeto a la privacidad. Las empresas pueden mejorar su reputación mediante la valoración de la ciberseguridad y la protección de la privacidad, entendiendo éstas como parte de la responsabilidad social corporativa.
  • Revisar las evaluaciones del programa de seguridad de la organización y asegurarse de que concuerda con las mejores prácticas y estándares donde se incluya entre otras la respuesta a incidentes, la notificación de incumplimientos, la recuperación de desastres y los planes de comunicaciones ante crisis.
  • Asegúrese de que la privacidad y los requisitos de seguridad para los proveedores (incluyendo la nube y software como un servicio) se basan en aspectos clave del programa de seguridad de la organización, incluyendo auditorías anualesy exigentes requisitos de control. Revise cuidadosamente los procedimientos de notificación en caso de incumplimiento o incidentes de seguridad.
  • Llevar a cabo una auditoría anual de programa de seguridad de la información de la organización, que deberá ser revisado por el Comité de Auditoría.
  • Realizar una revisión anual del programa de seguridad de la información de la empresa donde se evidencie la eficacia de los controles, el cual deberá ser revisado por el Comité de Riesgos y asegurarse de que las debilidades identificadas cuentan con un plan de tratamiento.
  • La alta gerencia deberá solicitar informes periódicos sobre el aseguramiento de la privacidad y la administración de los riesgos de seguridad de la información.
  • Establecer y asignar presupuestos formales para los temas de privacidad y gestión de riesgos de seguridad de la información. 
  • Llevar a cabo auditorías anuales de cumplimiento sobre los temas de privacidad, respuesta a incidentes, notificación de incumplimiento, recuperación ante desastres y planes de comunicaciones ante crisis. 
  •  Evaluar los riesgos de ciberseguridad y las valoraciones de pérdidas potenciales frente a la suficiencia de la revisión de la cobertura del seguro de ciberseguridad.
Con estas recomendaciones los académicos de CMU Cylab establecen un plan de acción concreto que invita a las juntas directivas a incorporar la inseguridad de la información, los derechos fundamentales y las perspectivas de negocio como temas propios de las agendas de los ejecutivos, ya no como temas “que hay que revisar frente a la operación”, sino como aspectos claves de la estrategia y aseguramiento de la responsabilidad social empresarial, que son propias de las empresas de clase mundial.

Referencias
WESTBY, J. (2012) Governance of Enterprise Security. How Boards & senior executives are managing cyber risk. Cylab Report. Carnegie Mellon University Cylab. Disponible en: http://www.rsa.com/innovation/docs/11656_CMU_-_GOVERNANCE_2012_RSA_Key_Findings_v2_%282%29.pdf (Consultado: 27-05-2012)
HUFF, S., MAHER, P. AND MUNRO, M. (2006) Information Technology and the Board - Is There an Attention Deficit? MIS Quarterly Executive, Vol. 5, No. 2, June, pp. 1-14.

No hay comentarios:

Publicar un comentario