ez más ol de las las ne Manual de un C hief I
19
ediciones de la Manual de un Informática Jeimy J. Cano M., Ph.D, CFE Reflexiones no convencionales sobre la gerencia de la seguridad de la información en un mundo VICA (Volátil, Incierto, Complejo y Ambiguo) C hief I nformation S ecurity O fficer
Transcript of ez más ol de las las ne Manual de un C hief I
Jeimy J. Cano M.
En un mundo digitalmente modificado, donde los
flujos de información son inevitables y cada vez más
frecuentes, las exigencias de seguridad y control de las
empresas representan un reto de balance entre las ne-
cesidades del negocio y las propuestas de valor para los
clientes de los nuevos productos y/o servicios bajo un
entorno volátil, incierto, complejo y ambiguo.
En este sentido, el ejecutivo de seguridad de la in-
formación, de privacidad o de ciberseguridad debe
anticipar amenazas y riesgos emergentes y actuar en
consecuencia. Por tanto, tres declaraciones son claves
para asumir la complejidad de las situaciones que se le
pueden presentar: fluir con las situaciones límite y to-
mar decisiones inteligentes para abordarlas; todos los
aprendizajes adquiridos e interiorizados, tarde o tem-
prano, serán útiles y el entrenamiento lo es todo, por
tanto, nunca debe dejar de ejercitarse.
Así las cosas, se presenta esta publicación como una
excusa académica y sencilla para orientar a los ejecuti-
vos de seguridad de la información y afines, como una
carta de navegación que busca establecer un trazado
sobre el territorio inestable del ejercicio de un cargo,
que siempre está en constante movimiento y que exige
una capacidad de adaptación y renovación, para estar
cerca de los linderos de los “nuevos trucos” de los ata-
cantes y así proveer apuestas prácticas y audaces para
hacer más resistentes a las organizaciones ante la inevi-
tabilidad de la falla.
Conozca el modelo de negocio de la seguridad de la información
Descubra y alíniese con los imaginarios de la junta directiva sobre la seguridad de la información
Prepárese y antícipese a las fallas
Man
ual d
e un
CIS
O
Contenidos libres en:
www.edicionesdelau.com
Ph.D, CFE. Profesor Distinguido y miembro fundador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho de la Universidad de los Andes, Colombia. Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes. Especialista en Derecho Disciplinario por la Universidad Externado de Colombia. Ph.D en Administración de Negocios por Newport University, CA. USA y Ph.D (c) en Educación por la Universidad Santo Tomás. Obtuvo un Certificado Ejecutivo en Liderazgo y Administración del MIT Sloan School of Management y es egresado de los programas de formación ejecutiva de Harvard Kennedy School of Government: Liderazgo en el siglo XXI: Agentes globales de cambio y Ciberseguridad: Intersección entre política y tecnología ambos en Boston, USA. Ha sido reconocido como “Cybersecurity Educator of the year 2016” para Latinoamérica conferido por Cybersecurity Excellence Awards. Es Examinador Certificado de Fraude – CFE por la ACFE y Cobit5 Foundation Certificate por ISACA. Cuenta con más de 20 años de experiencia como académico y profesional en seguridad de la información, auditoría de TI, forensia digital, delitos informáticos, privacidad y temas convergentes en Colombia y latinoa-mérica y más de un centenar de publicaciones en diferentes eventos y revistas nacionales e internacionales.
edici
ones
de la
edici
ones
de la
Manual de un
Aplicada a las ciencias económicas, administrativas y contables
Informática
Jeimy J. Cano M., Ph.D, CFE
Reflexiones no convencionales sobre la gerencia de la seguridad de la información en un mundo VICA (Volátil, Incierto, Complejo y Ambiguo)
Jeim
y J.
Can
o M
. C hief
I nformation
S ecurity
O fficer
Informática
Bogotá - México, DF
Manual de un CISO
Jeimy J. Cano M., Ph.D, CFE
Reflexiones no convencionales sobre la gerencia de la seguridad de la información en un mundo VICA
(Volátil, Incierto, Complejo y Ambiguo)
Apreciad@ cliente:
Es gratificante poner en sus manos estas obras, por esta razón le invitamos a que se registre en nuestra web:
www.edicionesdelau.com y obtenga benefi-cios adicionales como:
Complementos digitales de las obras
Actualizaciones de las publicaciones
Interactuar con los autores a través del blog
Información de nuevas publicaciones de su interés
Noticias y eventos
Adquiere nuestras publicaciones en formato e-book
Visítanos en: www.edicionesdelau.com
Sus pedidos a:Carrera 27 # 27-43 • Barrio TeusaquilloPBX. (57-1) 3203510 • (57-1) 3203499 • Móvil: 310 - [email protected] - [email protected]á - Colombia
Av. Coyoacán 1812 A. Acacias Benito Juárez C.P. 03240PBX. (52) 55-63051703 • Cel. 044 [email protected]éxico D. F. - México
Área: InformáticaPrimera edición: Bogotá, Colombia, septiembre de 2016ISBN 978-958-762-582-0
© Jeimy J. Cano M. (Foros de discusión, blog del libro y materiales complementarios del autor en www.edicionesdelau.com) © Ediciones de la U - Carrera 27 #27-83 - Tel. (+57-1) 3203510 - 3203499 www.edicionesdelau.com - E-mail: [email protected] Bogotá, Colombia
Ediciones de la U es una empresa editorial que, con una visión moderna y estratégica de las tecnologías, desarrolla, promueve, distribuye y comercializa contenidos, herramientas de formación, libros técnicos y profesionales, e-books, e-learning o aprendizaje en línea, realizados por autores con amplia experiencia en las diferentes áreas profesionales e inves-tigativas, para brindar a nuestros usuarios soluciones útiles y prácticas que contribuyan al dominio de sus campos de trabajo y a su mejor desempeño en un mundo global, cambiante y cada vez más competitivo.
Coordinación editorial: Adriana Gutiérrez M.Diagramación: Daniela ParraCarátula: Ediciones de la UImpresión: Digiprint Editores SASCalle 63 bis #70-49, Pbx. (57+1) 4307050 Impreso y hecho en ColombiaPrinted and made in Colombia
No está permitida la reproducción total o parcial de este libro, ni su tratamiento infor-mático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro y otros medios, sin el permiso previo y por escrito de los titulares del Copyright.
Cano M., Jeimy J.
Manual de un CISO / Jeimy Cano M. -- Bogotá: Ediciones de la U, 1a.ed. 2016 p. ; 176 cm. ISBN 978-958-762-582-0 e-ISBN 978-958-762-583-7 1. Informática 2. Seguridad de la información 3. Cultura organizacional I. Tít. 658 cd 24 ed.
Apreciad@ cliente:
Es gratificante poner en sus manos estas obras, por esta razón le invitamos a que se registre en nuestra web:
www.edicionesdelau.com y obtenga benefi-cios adicionales como:
Complementos digitales de las obras
Actualizaciones de las publicaciones
Interactuar con los autores a través del blog
Información de nuevas publicaciones de su interés
Noticias y eventos
Adquiere nuestras publicaciones en formato e-book
Visítanos en: www.edicionesdelau.com
Sus pedidos a:Carrera 27 # 27-43 • Barrio TeusaquilloPBX. (57-1) 3203510 • (57-1) 3203499 • Móvil: 310 - [email protected] - [email protected]á - Colombia
Av. Coyoacán 1812 A. Acacias Benito Juárez C.P. 03240PBX. (52) 55-63051703 • Cel. 044 [email protected]éxico D. F. - México
7
Contenido
Prólogo .................................................................................................................... 9
Introducción ......................................................................................................... 13
1. El negocio de la seguridad de la información: ¿Qué vende la función de seguridad de la información? ............................. 152. Seguridad de la información: .................................................................................... Tres conceptos distintos y un solo responsable verdadero ......................... 233. La inseguridad de la información y las juntas directivas. ¿Déficit de atención? ................................................................................................. 314. El futuro de la inseguridad de la información: El arte de imaginar lo inesperado ......................................................................... 375. Protegiendo el valor de la información: ................................................................. Reflexiones desde la inseguridad de la información ..................................... 436. Ciber amenazas. La inseguridad de la información en el contexto global .............................. 497. La estrategia en seguridad de la información. Descubriendo permanentemente la inseguridad de la información ...... 558. Inseguridad de la información. La estrategia antifrágil de la seguridad de la información ........................... 619. La inseguridad de la información en el contexto de la densidad digital ...................................................................................................... 6910. ¿Qué tan seguros somos? ............................................................................................. El reto de presentar el reporte de la inseguridad de la información a la junta directiva ........................................................................ 7511. Cultura de seguridad de la información. Una revisión desde los conceptos de diseño y cultura organizacional .......................................... 85
MANUAL DE UN CISO
8
12. Privacidad y seguridad de la información. Desafíos territoriales alrededor de la información ......................................... 9513. Gestión de la inseguridad de la información. De una mentalidad táctico-operativa a una estratégico-defensiva .......10514. Seguridad de la información. Presiones actuales y emergentes de la inseguridad de la información .........................................11115. Presiones emergentes sobre la privacidad de la información ..................12116. Endureciendo el cortafuegos humano. El arte de la contrainteligencia social ................................................................12917. Proteger, defender y anticipar. ................................................................................... Tres competencias claves para enfrentar la inseguridad de la información en el siglo XXI ...............................................................................13718. Transformando la función de la seguridad de la información. ....................... Anticipando el futuro, entendiendo el presente ...........................................14319. Anotaciones sobre las competencias de los responsables de la seguridad de la información. Un ejercicio de resiliencia personal y supervivencia corporativa ..................................................................................15320. Juntas directivas. Descifrar e influenciar su imaginario vigente Sobre la seguridad de la información ............................................................................................................16121. “Saber hackear”. Competencia clave para desaprender ..............................16922. El CIO y el CISO. Tensiones emergentes en un ecosistema social y digital ...........................17323. Anticipar las fallas. El error como postura clave de las empresas resilientes ............................17924. Entre ciber ataques y ciber explotaciones. Tormenta perfecta para un CPO ..........................................................................18325. Cultura organizacional de seguridad de la información. Más allá de las implementaciones tecnológicas. ..........................................187
Anexos. .............................................................................................................. 195
Infografías claves .............................................................................................. 195
9
Prólogo
Uno de los personajes en los que recaen las actividades que pueden impac-tar en gran parte en el éxito o el fracaso en las organizaciones actuales, es el responsable de la gestión de la seguridad de la información, también deno-minado el CISO por sus siglas en inglés (Chief Information Security Officer), a diferencia de otros personajes en la literatura, este puede ser el héroe o el villano, puede ser digno de confianza o ser juzgado en su actuar, y todo ello en un corto intervalo de tiempo.
De él se espera, entre otras cosas, que proactivamente proteja la información y las tecnologías que la procesan en las organizaciones actuales, pero también se tiene la expectativa de que la defienda cuando ésta se encuentra en inminente peligro y, aún más, por si esto fuera poco, se espera que aun habiendo sufrido un devastador golpe tecnológico, tenga la fuerza para recuperarse y poner en producción las tecnologías con la información más confiable posible, de forma que ésta de nuevo genere el valor que sostiene y distingue a la organización.
En tanto que esta sensación de seguridad no se vea interrumpida por una falla en su implantación, la cual, como bien se refiere en esta obra: es inevitable, el actuar del personaje central, el CISO, resulta invisible. Por el contrario, cuando la falla se vuelve recurrente y de origen diverso, la inseguridad se fortalece y la confianza en el CISO se ve degradada y esto en la práctica es muy visible.
En el enfoque tradicional e incluso en las mejores prácticas y estándares de gestión de programas de seguridad de la información, se intuye en sus linea-mientos que las actividades asociadas a esta función pueden realizarse de forma muy estructurada, auto-contenida, repetible, medible, hasta el punto en que osamos certificarlas, cuando esto tal vez sólo sea una situación fugaz, donde en poco tiempo en el futuro, muchas de las características de seguridad e inseguridad, que fueron estimadas para esas actividades, hayan cambiado y, la certificación o sensación de seguridad que se tiene, ya no corresponda al objeto de protección u objetivo de control actuales.
MANUAL DE UN CISO
10
El Doctor Jeimy J. Cano M. una vez más nos obsequia con una excelente obra en la que, como él acostumbra, nos entrega lo mejor de su reconocido y am-plio dominio en el tema de seguridad, y para la que es un gran honor para este servidor escribir el prólogo.
En ella refleja de manera rigurosa y sustentada la situación real que vive hoy el CISO en su entorno, de cara a la junta directiva, con sus contrapartes de seguridad corporativa, con las áreas de tecnologías de la información o con sus socios estratégicos; así mismo, describe las presiones que enfrenta el CISO ante los riesgos emergentes, la creciente densidad digital y la nueva dimen-sión estratégica denominada ciberespacio.
Afortunadamente, para beneplácito del lector y especialmente para el CISO, con igual rigor y sustento, el Doctor Jeimy Cano plantea oportunidades para mejorar la forma en que se atienden estas presiones, bajo la forma de estrategias y tácti-cas, que germinan a partir de sus propias reflexiones y las de otros académicos expertos en la materia, que si bien exploran terrenos poco convencionales, el resultado conduce a la necesidad de un cambio de paradigma en la forma en que se concibe y realiza la función del CISO en este entorno complejo.
Como ocurre en cualquier cambio de paradigma, en mi lectura de esta obra per-cibo en sus páginas, como requisito fundamental, la necesidad de contar con una mente abierta en la alta dirección y en los responsables de la seguridad, lo que puede implicar o conducir a la adopción de diversos aspectos poco con-vencionales para proporcionar seguridad a la organización, que pueden ser, por citar sólo algunos de los identificados en esta obra, desde el posicionarse en la perspectiva del atacante, o de pensar sobre la seguridad de la organización con un enfoque de afuera hacia adentro, considerando al mundo exterior con el que se está conectado para proseguir hacia su propio mundo interno, de igual for-ma, el considerar la inclusión de la falla como un elemento más en los modelos estratégicos y tácticos, de forma que ésta sea considerada en las actividades que se deriven de estos modelos y que, en consecuencia, nos permita fortalecer y ser resistentes, y me atrevería a decir, “conviviendo armoniosamente con las fallas”.
Estas reflexiones nos llevan a cuestionar si en la época actual debemos con-tinuar gestionando de forma monolítica, estructurada y para un supuesto entorno estático y predecible, como dictan los antiguos cánones, o debemos enfilar las estrategias hacia un nuevo paradigma que refleje de mejor forma el efímero, cambiante, incierto y complejo entorno a proteger.
En este entorno donde el CISO es el eje central surgen perspectivas y retos de negocio, de estrategia y táctica, así como de cultura y capacitación, como ele-
JEIMY J. CANO
11
mentos clave en el actuar del CISO y de su equipo. En la obra, la investigación aparece como piedra angular, con propuestas desafiantes para transformar al CISO en el CBSO (Chief Business Security Officer), o crear las competencias para soportar las nuevas y cambiantes presiones del entorno del CISO, a saber, el ciberespacio, la densidad digital, la inseguridad, la falla inevitable y todo lo nuevo que emerge en nuestros días en el entorno tecnológico, como Big Data, el cómputo en la nube, etc.
Dada la basta y reconocida especialización del Doctor Jeimy Cano, así como su experiencia y su gran capacidad de integrar muchas disciplinas como gober-nanza, seguridad, cómputo forense, gestión de riesgos, entre otras, hace que esta nueva propuesta sea, en mi humilde percepción, una lectura diferente según el rol que desempeñe el lector, en el sentido de que puede despertar o motivar actitudes diferentes y acordes a las responsabilidades que nos corres-ponden, que van desde preparar un informe de seguridad a la alta dirección, el fomentar la cultura de seguridad, definir estrategias o tácticas, realizar in-vestigación, hablar de riesgos, etc., lo que hace de esta obra una herramienta versátil que, si bien su título plantea que es un Manual de un CISO, considero que su alcance es mucho más extenso y puede también ser de gran utilidad a un director, un administrador de tecnología, un consultor de seguridad, etc., y su aprovechamiento complementará y, muy probablemente, generará nuevas actitudes en beneficio del rol que se desempeñe en la organización.
En definitiva, esta obra es una lectura obligada para los responsables de la se-guridad de la información en las organizaciones, pero es de igual importancia para transmitir estas reflexiones a las nuevas generaciones de estudiantes en cursos de gestión de la información. Como profesor, practicante de la seguri-dad y siempre estudiante de estos apasionantes temas, debo señalar que su agradable lectura me ha enseñado y enriquecido, ampliando la perspectiva de lo que puedo aportar como asesor, investigador o en mis responsabilidades en materia de seguridad.
No me resta más que agradecer al Dr. Jeimy Cano, entrañable amigo, por con-cederme el honor de esta participación, y por su incansable contribución hacia la comunidad de seguridad de la información en América Latina y de otras latitudes, para la que siempre ha extendido la mano ofreciendo ayuda y alter-nativas para mejorar el entendimiento de estos temas, en esta ocasión para la función del responsable de la seguridad.
Dr. José de Jesús Vázquez GómezEspecialista en Tecnologías de la Información para Banco de México (Banco Central)
Ciudad de México, México.
13
Introducción
En un mundo digitalmente modificado, donde los flujos de información son inevitables y cada vez más frecuentes, las exigencias de seguridad y control de las empresas representan un reto de balance entre las necesidades del ne-gocio y las propuestas de valor para los clientes de los nuevos productos y/o servicios bajo un entorno volátil, incierto, complejo y ambiguo.
En este sentido, el ejecutivo de seguridad de la información, de privacidad o de ciberseguridad debe anticipar amenazas y riesgos emergentes y actuar en consecuencia. En este sentido, tres declaraciones son claves para asumir la complejidad de las situaciones que se le pueden presentar: fluir con las situa-ciones límite y tomar decisiones inteligentes para abordarlas; todos los apren-dizajes adquiridos e interiorizados, tarde o temprano, serán útiles y el entrena-miento lo es todo, por tanto, nunca debe dejar de ejercitarse. Por tanto, los responsables de la seguridad de la información deben asumir una postura resiliente frente a la realidad de su cargo, el cual se encuentra en una posición contradictoria por naturaleza: asegurar la promesa de valor de información confiable y controlada en el contexto de la empresas y responder por los incidentes que se deriven de fallas de seguridad y control, donde son llevados indefectiblemente al tribunal de justicia empresarial, donde no cuen-ta con las garantías mínimas del procesado: igualdad de armas y una instancia independiente para ser juzgado.
En el desarrollo de este cargo, como director o jefe de seguridad de la infor-mación o posición semejante, se hace necesario incorporar no solo las de-strezas técnicas naturales de la protección de la información, sino igualmente comprender la evolución de la función en la organización, de tal forma que pueda contextualizar su actuar y, desde allí, motivar acciones que lo lleven a tener mayor visibilidad de su gobierno sobre el aseguramiento de la infor-mación en todos los procesos de negocio, particularmente con énfasis en aquellos que articulan el modelo de generación de valor de la empresa.
MANUAL DE UN CISO
14
Así las cosas, se presenta esta publicación como una excusa académica y sencil-la para orientar a los ejecutivos de seguridad de la información y afines, como una carta de navegación que busca establecer un trazado sobre el territorio inestable del ejercicio de un cargo, que siempre está en constante movimien-to y que exige una capacidad de adaptación y renovación, para estar cerca de los linderos de los “nuevos trucos” de los atacantes y así proveer apuestas prácticas y audaces para hacer más resistentes a las organizaciones ante la in-evitabilidad de la falla.
Los capítulos que se presentan a continuación resumen reflexiones y análisis fruto de la experiencia de muchos practicantes, académicos, directivos y es-pecialistas en seguridad y control, así como analistas de fraude y delincuencia informática, para dar cuenta del ejercicio ejecutivo que implica un gobierno de la “inseguridad de la información” en una realidad asimétrica y compleja que está inmersa en la dinámica de las empresas del siglo XXI.
15
1. El negocio de la seguridad de la información:
¿Qué vende la función de seguridad de la información?
Introducción
Generalmente, cuando hablamos de un negocio, hablamos de producir algún tipo de bien o servicio que satisface una necesidad existente o creada, por lo cual cobramos y obtenemos algún beneficio, bien sea tangible o intangible. Cuando interrogamos a los miembros de una organización, cualquiera que sea esta, una pregunta básica que se nos ocurre es: ¿qué hace la compañía para la que trabajas? O dicho de otra forma: ¿qué vende la empresa para la cual prestas tus servicios? Respuesta que no se da de manera fluida o concreta y que, gen-eralmente, no responde con claridad sobre el negocio que esta desarrolla.
Tener claridad sobre el modelo de negocio que se desarrolla en una organi-zación es encontrar la fuente de la sabiduría empresarial, es decir, establecer alternativas desequilibrantes y únicas que permiten a la compañía desta-carse en su entorno y tomar ventaja de las condiciones que su contexto le marca, buscando anticiparse todo el tiempo para estar un paso por delante de sus competidores.
Un modelo de negocio requiere, antes que una estructura formal o concep-tual probada, una visión, una pasión, un gusto y una forma diferente de ver el mundo, que le permita a su creador una manera para darle forma a una idea o pensamiento, un camino para desarrollar su intelecto y una oportunidad para armar un rompecabezas de retos que su propio sueño le impone. Un creador de negocios sabe que tendrá muchas cosas a su favor y otras tantas en contra, que deberá tener buen criterio para recibir las consideraciones de sus contradictores y buen olfato para tomar riesgos calculados y así obtener lo que quiere.
En este contexto, los responsables y ejecutivos de la seguridad de la infor-mación en las empresas modernas deberían asistir a la revelación del mod-
MANUAL DE UN CISO
16
elo de negocio que se esconde detrás de la función de seguridad de la infor-mación. ¿Qué es lo que vende el área de seguridad de la información? Para responder esta pregunta, en el entendido de que somos dueño de un negocio y de que debemos obtener utilidades, vamos a revisar las reflexiones de un reciente artículo publicado en el Sloan Management Review de la Escuela Sloan de Administración de Negocios del MIT, que establece una plantilla base para hacer evidentes los modelos de negocio.
¿Qué es un modelo de negocio?
Los académicos SINFIELD, CALDER, McCONNELL y COLSON (2012) del MIT es-tablecen un conjunto base de preguntas para revelar la fuente misma del ne-gocio, como insumo base para repensarlo y hacerlo evolucionar hacia nuevas fuentes de utilidad y desequilibrio requerido para posicionar a una empresa en su mercado. Las preguntas sugeridas son:
• ¿Quién es nuestro cliente objetivo? • ¿Cuál es la necesidad que debemos satisfacer? • ¿Qué debemos ofrecerle para satisfacer su necesidad? • ¿Cómo nuestro cliente tendrá acceso a nuestra oferta? • ¿Dónde debemos operar en la cadena? • ¿Cómo obtendremos las ganancias?
Si miramos cada una de las preguntas, todas ellas buscan determinar con cla-ridad aquello que debe movilizar los esfuerzos de los dueños de los negocios. Todo dueño está interesado en que su forma de hacer negocios tenga los re-sultados esperados y, por tanto, estará atento en potenciar los recursos que tiene a su alcance para satisfacer los retos que su entorno le propone y cumplir con los requerimientos más exigentes de sus clientes. Así las cosas, detallamos a continuación algunas reflexiones que nos permitan tratar de responder a la pregunta ¿qué vende la función de seguridad de la información (FSI)?
Entendiendo el modelo de negocio de la seguridad de la información
En primer lugar, los clientes de la FSI son claros en cualquier organización: la alta gerencia, la gerencia media, los empleados de la empresa y sus grupos de interés. Cada uno de ellos tiene necesidades particulares y relacionadas entre sí, que deben ser analizadas y detalladas para entender cómo sacar las mejores ganancias en la aplicación del modelo de negocio de la seguridad de la información.
JEIMY J. CANO
17
Como quiera que la FSI, considerando su nivel de madurez corporativa, puede estar articulada en el más alto nivel o asociada con una vista eminentemente tecnológica, tema que está fuera del alcance de este documento, se hace nece-sario conocer en profundidad qué moviliza el tema en cada una de las audien-cias identificadas, su entendimiento a nivel empresarial y el discurso práctico que hace eco en las actividades cotidianas de cada uno de ellos.
Etimológicamente hablando, la palabra necesidad establece dos ideas: la falta de algo indispensable para la vida o el motivo irresistible de alguna acción (tomado de: http://etimologias.dechile.net/?necesidad). En este sentido, in-tentemos encontrar esa “falta de algo o motivo irresistible” que hace que las diferentes audiencias encuentren en la seguridad de la información esa mate-ria de conocimiento relevante para el negocio.
Para responder a este reto, consideremos una reflexión por el complemento, ¿qué sucede cuando se materializa la inseguridad, cuando los riesgos se ma-terializan? Generalmente, ocurre la pérdida de confianza, de serenidad, se in-crementa la incertidumbre natural del entorno y, por tanto, se requiere tener mayor información de lo sucedido para comprender con detalle aquello que “no debió ser” pero que naturalmente ocurre: la inevitabilidad de la falla. No hay ninguna condición en el mundo que no esté sujeta a riesgos o a la insegu-ridad, por tanto, todo aquello que nos permite establecer y reconocer estados conocidos será una forma de validar una sensación de control requerida frente a una situación.
En consecuencia, la alta gerencia de una empresa, en su empeño por mantener a flote el negocio, debe establecer un conjunto de variables y condiciones que le permitan un ambiente estable y tranquilidad relativa, es decir, una posición vigilante, para avanzar en medio de sus retos corporativos. En este escenario, la información es una razón suficiente para tener motivos de incertidumbre, un motivo irresistible que enmarca el corazón de la toma de decisiones y las posiciones estratégicas de la empresa. Si esto es así, la FSI debe comprender las raíces de estos motivos y confrontar los dilemas de control que se manifies-tan, bien por exposición a terceros, regulaciones e implicaciones económicas, como por impactos en la moral y comportamientos de sus empleados.
La confianza es, entonces, un motivador fundamental de los ejecutivos de más alto nivel, que, en procura de mantener en curso las estrategias de negocio, para materializar su modelo asociado, requieren que la información se man-tenga dentro de los parámetros de confiabilidad propios del entorno de com-petencia y así mantener controlados los riesgos emergentes de sus relaciones con sus grupos de interés.
MANUAL DE UN CISO
18
Por tanto, como bien dicen la sabiduría popular y la experiencia propia, la con-fianza tarda mucho en construirse y poco para perderla. En consecuencia, la seguridad de la información es una apuesta para edificar una respuesta a una condición de inseguridad permanente, con el fin de instaurar una esperanza de un comportamiento repetitivo que limita la materialización de una condi-ción indeseada. Ahora bien, si esta última se materializa, deberá haber una re-acción coherente y decisiva que trate de controlar efectivamente los impactos sobre los “bonos” de confianza construidos.
Elementos base de la confianza en seguridad de la información
La competencia y la credibilidad son los elementos más destacados en la construcción de confianza. Estas condiciones, propias de la dinámica de los negocios, particularmente de la seguridad, son requisitos fundamentales de la operación de la función de seguridad de la información. La competencia habla de las habilidades y del conocimiento específico aplicado, que se traduce en acciones prácticas visibles y evidenciables, que muestra, en el profesional de seguridad de la información, la claridad conceptual y prudencia de sus accio-nes. La credibilidad es esa propiedad emergente que está fundada en el carác-ter de la persona, en la forma coherente y real en que toma decisiones basadas en sus valores y principios.
En la seguridad de la información, los ejecutivos responsables de ella deberán acrecentar su credibilidad con resultados concretos y percepciones positivas sobre el manejo de los activos de información, sobre la sabiduría para ase-gurar la operación de la empresa y la forma en que deben actuar cuando la inevitabilidad de la falla se presenta. La confianza antes, durante y después de la materialización de una falla parcial o total define mucho el carácter de este ejecutivo, mide su nivel de preparación y valida su capacidad de toma de decisiones frente a situaciones críticas.
Es claro que no es necesario este tipo de situaciones reales para confrontar y validar los niveles de experiencia y capacidad de reacción de los ejecutivos de la seguridad, sino el nivel de preparación e interiorización que la cultura orga-nizacional tiene frente a los incidentes, sus lecciones aprendidas y el refuerzo permanente de sus prácticas frente al tratamiento de la información.
De acuerdo con lo anterior, los altos ejecutivos de la empresa requieren mé-tricas, estudios comparativos, auditorías independientes que permitan com-prender cómo la organización se prepara para asumir el reto de los riesgos de seguridad de la información, buscando reducir la incertidumbre propia de un ambiente hostil, dinámico e impredecible que tienen los negocios actuales.
JEIMY J. CANO
19
El negocio de la seguridad de la información está cercado por “depredadores” de confianza que buscan en cada momento doblegar sus fuerzas y desdibujar sus victorias previas, para infundir temores y preocupaciones en el colectivo que se quiere posicionar. Por tanto, la promesa de valor y el despliegue de la misma en las organizaciones no puede ser otra cosa que una vista activa, propositiva y anticipatoria que busca adelantarse a los riesgos y situaciones propias de las operaciones para vivir con el “mínimo de paranoia bien adminis-trado” que destruya la “falsa sensación de seguridad”.
La información: elemento fundamental del negocio de la seguridad de la información
Si entendemos que “una corporación no puede darle forma o controlar infor-mación (expuesta en las redes sociales, publicidad, ponderaciones de calidad o consideraciones regulatorias), solo puede usarla; y debe integrarla con el fin de darle sentido […)]” (CORTADA, 2011, pág. 76), el negocio de la seguridad de la información encuentra en esta frase la forma de darle respuesta a otra de las preguntas sugeridas por los teóricos del MIT: ¿dónde debemos operar en la cadena?
El negocio de la seguridad de la información debe operar en el diseño de la es-trategia corporativa y en la articulación de los planes tácticos, de tal forma que, entendiendo la forma como se configura la generación del valor del negocio y cómo se despliega en cada una de las áreas de negocio, se puede entender esa “falta de algo” que se manifiesta en el tratamiento de la información dentro y fuera de la organización. En este sentido, cuando la seguridad de la infor-mación articula y moviliza el valor de las estrategias corporativas, es capaz de capitalizar las más altas utilidades de su modelo (el de su negocio).
Por tanto, debemos pasar de una vista eminentemente tecnológica y de im-plementación (que es clave y relevante para hacer del modelo de negocio una realidad) a una asistida por servicios que renueven el entendimiento del mercado en el cual opera la organización, revelen patrones de comporta-mientos y condiciones regulatorias que impacten la empresa y, por qué no, desarrollen ideas diferenciadoras desde la confianza con los terceros y gru-pos de interés, para crear un desequilibrio estratégico en su mercado crean-do condiciones que permitan negocios flexibles basados en una aproxima-ción de riesgos calculados.
Amén de lo anterior, si en la información encontramos los movilizadores que articulan el modelo de negocio de la seguridad de información, todas aquellas
MANUAL DE UN CISO
20
actividades que verifiquen la confianza de los ejecutivos de las empresas serán un posible nicho de generación y articulación del valor propio del modelo de seguridad de la información. En este sentido, aspectos como el cumplimiento normativo, cifras confiables, operaciones confiables, comportamientos ade-cuados frente a la información y sistemas de información confiables son te-mas que deberán ser objeto de análisis y reflexiones para plantear la estrategia del negocio de la seguridad, buscando generar las utilidades requeridas para mantener la viabilidad de dicho negocio, en la función de seguridad de la in-formación de una empresa.
“Si la habilidad para cambiar es ahora más importante que la habilidad para crear e innovar (…)” (MULHOLLAND, A.; PYKE, J. y FINGAR, P., 2010, pág. 182) es natural que las organizaciones encuentren en las prácticas de seguridad y de control elementos fundamentales que les permitan avanzar con celeridad y claridad de un estadio a otro, pues si bien allí existen estrategias formales y estrictas para asegurar una transición adecuada de un estado a otro, también están las condiciones particulares de cada organización, que, reconociendo su nivel de riesgo y exigencias normativas, son capaces de adaptar las mismas y lograr los balances requeridos entre confiabilidad y agilidad empresarial para tener una posición estratégica privilegiada.
Reflexiones finales
Estamos en un contexto empresarial dinámico asistido por tendencias tec-nológicas que retan a los planes estratégicos organizacionales. La computa-ción en la nube, las tecnologías móviles y las redes sociales establecen nuevas oportunidades y amenazas para las organizaciones y, por tanto, la seguridad de la información debe ser el aliado estratégico de la gerencia, para sacar el mayor provecho a las potencialidades de las mismas.
No podemos alcanzar mayores niveles de confiabilidad empresarial, entendi-da esta desde la perspectiva de la seguridad y de la calidad de la información, si no somos capaces de generar la suficiente confianza en cada uno de aque-llos elementos que son de interés por parte de la alta gerencia. La sensación de confianza que podamos construir, el tratamiento adecuado de la información de cada uno de los procesos de negocio de la empresa y el reconocimiento, tanto interno como externo, de dicha condición deberán ser parte de la agen-da del ejecutivo a cargo de la seguridad de la información.
El negocio de la seguridad de la información tendrá sus mayores utilidades y dividendos cuando sea capaz de reinventarse a sí mismo en cada proceso de
JEIMY J. CANO
21
negocio, cuando logre incorporar de manera consistente y evidente compor-tamientos confiables en el manejo de la información en los empleados de las empresas, cuando fortalezca su posición vigilante y proactiva frente a los inci-dentes que se le materialicen, cuando el capital de confianza que ha construi-do se verifique y consolide con victorias tempranas y pronósticos confiables, que le permitan a su dueño cumplir la promesa de valor a sus clientes y hacer de sus actividades conversaciones de las juntas directivas.
Entender la seguridad de la información como un negocio es vender un in-tangible que encuentra su referente en la experiencia, historia y práctica de los individuos, en las exigencias normativas y en el nivel de percepción de los riesgos, en pocas palabras, en una esfera social y psicológica que apenas inicia-mos a descubrir y que requiere entender la complejidad, es decir, la variedad de condiciones y estados de las personas, procesos y tecnologías, para revelar y consolidar el lenguaje político y estratégico que requiere dicho negocio para ser un actor fundamental en la construcción del futuro de las empresas.
Referencias
SINFIELD, J.; CALDER, E.; McCONNELL, B. y COLSON, S. (2012). “How to identify business models”. Sloan Management Review. Vol. 53, No. 2. Winter.
CORTADA, J. (2011). Information and the modern corporation. MIT Press.MULHOLLAND, A.; PYKE, J. y FINGAR, P. (2010). Enterprise cloud computing. A
strategy guide for business and technology leaders. Meghan-Kiffer Press.
23
2. Seguridad de la información:
Tres conceptos distintos y un solo responsable verdadero
Introducción
Revisando un documento de Gartner publicado en octubre de 2010, denom-inado “Security Governance and operations are not the same”, se aclara una re-alidad estructural de la seguridad de la información que da cuenta de la vista tripartita que se desarrolla para darle sentido a la confianza que una organi-zación requiere frente a la protección de su información.
Como quiera que por mucho tiempo se ha mantenido una relación muy cer-cana de los temas de seguridad de la información con las temáticas técnicas, se hace necesario desarrollar una dogmática básica para comprender, desde la óptica de la inseguridad, el gobierno, la administración y la operación de la seguridad de la información, no como simples elementos conceptuales, sino como reales evidencias prácticas que nos permitan conectar la declaración formal de la información como un activo, así como las prácticas operacionales que definen la confiabilidad de la infraestructura tecnológica.
De acuerdo con el documento previamente citado, el gobierno de la seguridad de la información debe asegurar que la relación entre el negocio y la seguridad siga los principios de la segregación funcional, toda vez que este último le per-mite a la organización asegurar un flujo de información declarado y sobre una manera trazable, limitando en la medida de lo posible aquellos conflictos de interés que se pudiesen manifestar desde la operación.
Sin perjuicio de que existan múltiples vistas para modelar una organización para la seguridad de la información, se requiere comprender las expectativas y entendimientos políticos que el aseguramiento de la información demanda en el contexto de las necesidades del negocio. En este sentido, a continuación detallamos, utilizando como soporte la publicación de Gartner, los tres ele-mentos que deben traducir y transformar la lectura y comprensión de la alta gerencia frente a la protección de la información en su contexto del negocio.
