domingo, 28 de abril de 2013

Cultura de seguridad de la información. Custodio de la ventaja competitiva empresarial



Hablar de una cultura de seguridad de la información en el contexto de una sociedad altamente conectada, de información instantánea, con movilidad permanente y exigente de nuevos servicios tecnológicos, es hablar de un blanco móvil en un escenario dinámico, es decir, el desafío de crear valor desde la protección de los activos de información, haciendo parte de las exigencias de los mercados emergentes donde la velocidad de ingreso, la oportunidad del producto y las ventajas superiores de los servicios marcan la diferencia cuando de crear una experiencia diferente se trata.

La seguridad de la información como función de cumplimiento estratégico de una organización, debe ser la custodia de la esencia del tratamiento de la información, motivando la protección de aquello que importa a la empresa, con el fin de preservar la ventaja competitiva de la organización y su posición privilegiada en un mercado. En este sentido, el fortalecimiento de la cultura de seguridad de la información, se convierte en un esfuerzo dirigido desde la misma estrategia corporativa, que leído en clave de objetivo estratégico de negocio, significa asegurar que las decisiones que se toman se ajustan al cumplimiento de una declaración de cuidado y protección de aquello que nos diferencia y hace que seamos valorados en los mercados.

En este sentido, la inversión en la cultura de seguridad de la información, es equivalente a los esfuerzos que las organizaciones actuales hacen alrededor de temas tan relevantes como ética, lavado de activos, corrupción, financiación del terrorismo, entre otros, los cuales en últimas buscan hacer más consciente a las personas en las organizaciones de los riesgos a los cuales se encuentra expuesta a diario la empresa, como mecanismo de prevención frente a posibles fallas o retos regulatorios que pueda enfrentar la organización en el tratamiento de su información o la de terceros en su custodia.

Como quiera que la cultura de seguridad de la información describe un conjunto de creencias, prácticas, símbolos, rituales y valores alrededor del tratamiento de la información que definen que es importante en el ejercicio de protección de la información, es preciso establecer cuándo esta mezcla homogénea de condiciones sociales y humanas se convierte en un apalancador de la estrategia corporativa y cuándo se funda como un inhibidor de las potencialidades de la empresa frente a su entorno de negocio.

Una cultura de seguridad de la información que se encuentre enraizada dentro de los valores corporativos y se haga realidad en los comportamientos de la empresa, es decir, se practique desde aquello que nos interesa proteger y que es relevante para la toma de decisiones estratégicas, es una cultura que previene a la organización de actuaciones ilegales, de responsabilidades civiles frente a daños, de reclamaciones de sus grupos de interés y de reclamos por violaciones de políticas o compromisos voluntariamente adquiridos por la empresa.

En este sentido, la cultura de seguridad de la información protege la reputación y el valor mismo de la organización toda vez que en el ejercicio sistemático de comportamientos íntegros respecto del tratamiento de la información, se entiende a nivel corporativo que una actuación inadecuada puede tener consecuencias que afecten las relaciones de la empresa tanto dentro como fuera de ella. Esto es, comprometer el buen nombre de la corporación en el futuro inmediato degradando su reconocimiento empresarial, afectando la confianza de los terceros para hacer mejores negocios con ella.

Una cultura de seguridad de la información así expuesta y fundada desde el ejercicio de estrategia corporativa no tendrá otro efecto que el fortalecimiento de la organización en su sector de negocio, el desarrollo de un liderazgo explícito ante sus competidores y el reconocimiento de su entorno como jugador decidido y comprometido, no solamente con el buen tratamiento de la información, sino con la búsqueda del bien común como declaración general de todas sus actuaciones.

Cuando desarrollamos una cultura de seguridad de la información fundada exclusivamente en reglas y castigos por violaciones a las mismas, generamos un ambiente de temor, de desconfianza y de “encubrimiento de los errores”. Si bien, es necesario adelantar procesos disciplinarios y sancionatorios cuando se advierte una violación crítica frente al tratamiento de la información, que termine alterando una relación de negocios o impactando una futura, es claro que el fortalecimiento de los valores frente a la información y el liderazgo con el ejemplo, son factores determinantes para movilizar los esfuerzos de transformación de los comportamientos adecuados para proteger la información.

Una cultura de seguridad de la información que solamente busca culpables o violadores de las reglas, no podrá incorporarse como fuente de valor para la estrategia de la empresa, sino como factor que limita y compromete una gestión efectiva de la protección del valor de los activos críticos de información. Esto se presenta dado que la cultura de la represión y castigo en el mediano plazo genera “antecedentes negativos” que disuaden a futuros agresores de las políticas en sus intenciones, no por convencimiento de la importancia del tema, sino por el miedo a la sanción, lo que claramente no anima una cultura de protección saludable, sino una cultura de protección perversa que sólo espera el comportamiento inadecuado para actuar.

Así las cosas y como quiera que se hace necesario integrar las reglas, estándares y procedimientos para el tratamiento de la información, así como los valores y comportamientos íntegros frente a su protección, la cultura de seguridad de la información debe transformarse de ese conjunto de prácticas necesarias para asegurar el cumplimiento de una norma, a una forma de hacer negocios de manera efectiva y confiable, a una lectura estratégica de metas corporativas que abre nuevas posibilidades con nuevos jugadores del entorno.

Conscientes que nuestro entorno actual demanda compartir información y mantener relaciones informadas de manera permanente, desarrollar una cultura de seguridad de la información basada en reglas no será la mejor opción por lo anteriormente anotado, sino en una que conjugue las reglas, los valores y la cultura, así como aquello que hace única la relación entre las partes.

Entender estas tres condiciones base para elaborar una propuesta de un conjunto de prácticas relevantes y efectivas de protección de la información, es la respuesta que el entorno de negocios actual espera, una experiencia para movilizar esfuerzos de manera confiable, no por miedo a sanciones o represión, no por ventaja o posicionamiento de uno u otro actor, sino por el logro de un beneficio mutuo que hace que el mercado reconozca la voluntad de los participantes para administrar los riesgos del tratamiento de la información de manera conjunta, asegurando sus objetivos comunes sin comprometer la independencia o ventaja competitiva particular, esto es, potencializando las sinergias de ambas empresas.

En este entendido, la cultura de seguridad de la información descifra la forma como la empresa se hace más rentable, más reconocida y recordada, pues es capaz de conjugar la ventaja competitiva, es decir, esa forma particular a través de la cual una organización se diferencia en un mercado, con la manera en la cual la empresa desde su hacer natural, reconoce a la información como bien requerido y estratégico para operar, para tomar decisiones y confirmar su compromiso ejecutivo con la protección de la información, más allá de un tema de cumplimiento, sino como declaración de gobierno corporativo.

Referencias
CHATMAN, J. y CHA, S. (2003) Leading by levaraging culture. California Management Review. Vol.45, No.4. Summer.
ALFAWAZ, S., NELSON, K. and MOHANNAK, K. (2010) Information security culture: a behaviour compliance conceptual framework. In: Australasian Information Security Conference (AISC) proceedings. Brisbane, Australia.
LIM, J., CHANG, S., MAYNARD, S. y AHMAD, A. (2009) Exploring the Relationship between Organizational Culture and Information Security Culture. Proceedings of the 7th Australian Information Security Management Conference. Perth, West Australia.

No hay comentarios:

Publicar un comentario