JOnline: La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes 

 
Download Article

Asegurar una efectiva estrategia de seguridad de la información, no es sólo cuestión de instalar y mantener artefactos tecnológicos especializados, sino comprender de manera sistémica las relaciones propias entre la estrategia corporativa, los procesos y los individuos. En este sentido y considerando los cambios dinámicos y la constante exigencia de la alta gerencia de tener la información para la toma de decisiones, el rol del chief information security officer (CISO) se vuelve altamente sensible y crítico, razón por la cual en este documento se presentan algunas reflexiones que nos permitan conocer su rol, los tipos de relacionamiento requerido, y el proceso de transformación que debe seguir frente a una realidad altamente interconectada, móvil y con sobrecarga de información.

Históricamente los temas de seguridad de la información han sido calificados como técnicos y sofisticados, como referentes eminentemente tecnológicos que requieren un nivel de especialidad propio que generalmente actúa como parte independiente de las funciones de negocio. Una seguridad concebida de esta forma manifiesta un desbalance entre lo que realmente necesita la organización y la forma como se articulan los artefactos tecnológicos requeridos para que se haga realidad la sensación de protección requerida.

Mientras la función de protección de la información, se mantenga asociada con una distinción eminentemente técnica y de dispositivos tecnológicos, poco será el margen de maniobra que se pueda realizar para apalancar una vista más estratégica y funcional para ser parte de la agenda de los altos ejecutivos de la empresa. De otra parte y considerando que, de acuerdo con Thomas H. Davenport y Jim Hagemann Snabe, los altos ejecutivos de las compañías prefieren mayor velocidad en el acceso a la información, que exactitud en la misma, se nos plantea un nuevo reto para transformar el colectivo ejecutivo de las organizaciones, para mostrarle que la mejor forma de ir más a prisa, es contar con buenos controles, esos que me permiten avanzar de manera consistente, sin comprometer la generación de valor.1

En este sentido, se requiere comprender las nuevas habilidades y esquemas de relacionamiento que un ejecutivo de seguridad de la información debe desarrollar para mimetizarse en las relaciones del negocio para crear una distinción de protección que sea entendida e incorporada por los gerentes y grupos de interés, renovando la visión técnica de la seguridad, y haciendo de la disciplina del aseguramiento de la información una rutina propia de la agenda estratégica de la empresa, entendida como un seguro corporativo, para lograr los objetivos y metas de la organización.

Para ello, este documento plantea una revisión de los conceptos de seguridad informática y seguridad de la información como fundamento de las reflexiones sobre la protección de la información, para luego revisar los objetivos primarios de la formulación de la estrategia de seguridad de la información y los roles asociados que debe asumir los ejecutivos de la seguridad de la información, terminando con los elementos de relacionamiento claves de estos ejecutivos y la transformación requerida para asumir los desafíos emergentes en la próxima década.

Seguridad Informática o Seguridad de la Información:  Ese Es el Dilema

En la literatura inglesa se distingue mejor los conceptos de seguridad informática y seguridad de la información. IT security es la distinción táctica y operacional de la seguridad. Es la forma como se detallan las implementaciones técnicas de la protección de la información, el despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, entre otros elementos, que—articulados con prácticas de gobierno de tecnología de información—establecen la forma de actuar y asegurar las situaciones de fallas parciales o totales, cuando la información es el activo que se encuentra en riesgo.

De otra parte, tenemos en la literatura information security, dos palabras que nos hablan de la esencia misma de la disciplina en el arte y ciencia de la protección, de los riesgos, de las amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la creación, uso, almacenamiento, transmisión, recuperación y disposición final de la información. Hablar de information security es hablar de la fuente misma de la práctica de control y cuidado de la información en cualquier medio y condición, que busca ofrecer una vista holística de su relación con procesos, personas y tecnologías.

Así las cosas, no será lo mismo contar con un director de seguridad informática que con un director o gerente de seguridad de la información. Si bien ambos, deben mantener una relación interdependiente, para alinear las dos vistas de la seguridad: lo técnico y lo estratégico. Ambos deben articular un discurso socio-estratégico que permitan integrar rápidamente en el ADN de la compañía, el entendimiento de la seguridad como un ejercicio natural para hacer negocios en un mundo móvil, interconectado y de flujos de información.

Revisando los Objetivos Primarios de la Estrategia de Seguridad de la Información

Considerando lo revisado por Tim Kayworth y Dwayne Whitten, una adecuada estrategia de seguridad de la información deberá articular tres elementos claves:2

  • Balance de necesidades: protección de la información y desarrollo de negocios
  • Aseguramiento del cumplimiento normativo
  • Desarrollo y afianzamiento de la cultura corporativa

Considerando el tipo de negocios que se desarrolle en una organización se establece el balance de la ecuación entre seguridad y negocio. Si somos una empresa de corte financiero, el balance entre negocios y seguridad estará dirigido por los niveles de riesgo propio de los procesos y la manera como ésta enfrenta su más cercano enemigo: el fraude. En consecuencia, la seguridad de la información será un referente natural de los procedimientos de acción, que se materializan en prácticas de las personas en los procesos mismos.

De otra parte, si nos encontramos en una industria de oportunidad como lo puede ser una empresa minera o de productos de consumo masivo, la velocidad para llegar al mercado y dar el primer golpe será el movilizador más importante para los ejecutivos de dichas empresas. En este contexto, la seguridad de la información deberá ser los frenos livianos y efectivos, que permitan contar con el mínimo de cuidados y con las prácticas de aseguramiento, que le faciliten moverse con mayor tranquilidad en su mercado, cuidando de su más temible adversario: la fuga de la información. Nadie es tan osado (bueno, algunos temerarios lo pueden hacer) para moverse con alta velocidad, sabiendo que sus mecanismos para detenerse ante las eventualidades no son los mejores.

Si llega a una industria de tiempos y movimientos, de precisión en el manejo de la información como transportes, logística o telecomunicaciones, cada proceso deberá asegurar que el flujo de datos y su procesamiento mantengan la integridad y disponibilidad de la misma, dado que cualquier error allí podrá comprometer su operación y de pasada su credibilidad frente a las famosas entregas perfectas que debe ver y comprobar cada uno sus clientes. La seguridad de la información en estas industrias se encuentra relacionada con controles para disminuir la incertidumbre del dato y asegurar la calidad y la oportunidad de la información, pues sólo, mientras más confianza haya en la información, mayor será la capacidad de innovación y diferenciación que podrá desarrollar esta industria.

En cualquiera de los tres casos, estamos asistiendo a una renovación del entendimiento de la seguridad que, dirigida por las necesidades de gobierno, riesgo y cumplimiento, es posible movilizarla frente a los intereses ejecutivos y hacerlos parte de la distinción extendida y sistémica de la seguridad— no como “algo que debemos tener,” sino como un elemento que nos permite asegurar la permanencia del negocio.

Revisando los Roles del Gerente de Seguridad de la Información (CISO)

Si bien la seguridad informática y la seguridad de la información deben estar interconectadas para lograr un balance efectivo de la sensación de seguridad en las organizaciones, según su nivel de exposición a los riesgos de fuga o pérdida de la información, es claro que su evolución frente a la función del chief information officer (CIO) de la empresa se debe hacer evidente, dado que, en la transformación del área de seguridad de la información, esta figura es un referente natural en su proceso evolutivo.

De acuerdo con el estudio de Joe Peppard, Chris Edwards y Rob Lambert, el CIO debe declarar qué tipo de rol debe jugar en la compañía, para tener claridad frente al momento de la empresa cuáles serán sus focos y estrategias para continuar apalancando el modelo de generación de valor de la misma.3 En esta misma forma, el CISO debe comprender y leer muy bien el modelo de negocios de la empresa, analizar la dinámica del sector donde se mueve la firma, y conocer con detalle el papel que desarrolla o ajusta el CIO de la organización.

Siguiendo lo establecido con el estudio mencionado, un CIO puede ser un director de tecnología de información, un evangelizador, un innovador, un facilitador o un director ágil de tecnología de información. Cada uno de ellos muestra un nivel de habilidades, aspectos críticos, retos y relacionamiento que debe ser analizado y revisado por el CISO para ajustar su agenda o, mejor, modificarla para mantenerse cerca de las decisiones estratégicas y alineado con las condiciones y expectativas que la función de tecnología de información desarrolla.

Es claro que el CISO no podrá abstraerse totalmente del fenómeno tecnológico de la compañía, pero si podrá visualizarlo desde la perspectiva de la arquitectura empresarial, que recoge los movilizadores de la estrategia de la empresa, las capacidades que debe desarrollar para desarrollarla y la infraestructura requerida para hacerla realidad. Por tanto, reconociendo que el CISO en esencia es un “socio confiable,” tiene como reto implícito motivar y asegurar que el concepto de propiedad o propietario de la información se arraigue en los procesos de negocio, para lo cual el entrenamiento requerido debe permitir el desarrollo de capacidades y prácticas de protección que se materialicen en su hacer y así, animar a cada área de negocio a explotar las ventajas competitivas propias de una adecuada gestión de la información.

Se preguntarán en este punto que no hemos revisado nada sobre los elementos técnicos de la seguridad, propios de la confidencialidad, integridad y disponibilidad. Pues estos en el ejercicio de una función de seguridad madura y eficiente hacen parte de la gestión de tecnología de información de una empresa que, para efectos prácticos, deben estar integrados en los procesos, procedimientos y objetivos de control de una operación de la infraestructura, que como en las empresas de logística, deben asegurar una “entrega perfecta” del servicio, lo cual incluye necesariamente las tecnologías de seguridad de la información.

El Relacionamiento del CISO:  Iniciativas Tácticas o Movimientos Estratégicos

Teniendo claro que el CISO deberá conocer el rol que quiere desempeñar en la organización y ser consciente de los retos corporativos frente a la dinámica del sector de negocio a la que pertenece, será necesario que el ejecutivo responsable de la seguridad de la información sea sensible a la forma como debe relacionarse con su cliente primario, la alta gerencia, para hacerse parte de las reflexiones estratégicas de la compañía y hacer de este escenario su mejor aliado para desplegar su programa de protección y aseguramiento de la información.

Figura 1Siguiendo las consideraciones de Harvey G. Enns, Dean B. McFarlin y Sid L. Huff para el relacionamiento de un CIO, el CISO deberá seguir el mismo patrón, con el fin de ser muy cuidadoso en sus intervenciones para entregar el mensaje adecuado en el momento adecuado y con las personas indicadas.4 Para ello, los autores mencionados establecen dos vistas de la interacción: tipo de iniciativa a presentar (estratégica o táctica) y tipo de CIO que, para nuestro caso, será tipo de CISO: socio confiable o soporte y apoyo (figura 1).

Como podemos observar, cuando las iniciativas que se plantean por parte del CISO son de orden estratégico(actividades con impacto en múltiples áreas y propósitos competitivos), los drivers de negocio y las consideraciones cumplimiento serán las que deben primar en las presentaciones y argumentaciones de los ejecutivos de seguridad, dado que allí la alta gerencia encontrará eco en su agenda y la forma como puede aumentar sus capacidades distintivas y hacer la diferencia frente a sus competidores, o, mejor aún, crear un nuevo momentum de crecimiento y desarrollo empresarial que desestabilice el mercado a su favor. Si el CISO es capaz de articular sus explicaciones y resultados en este mismo sentido, podrá fortalecer su posición como socio confiable y cuerpo consultivo de la junta directiva, sabiendo que esta nueva responsabilidad exige un mejor y mayor conocimiento del negocio y sus riesgos.

De otro lado, cuando las iniciativas son de orden táctico (impacto limitado a pocas áreas y mejoramiento de capacidades existentes), las consideraciones de riesgos y controles, así como de los beneficios concretos que tiene para empresa, serán los motivadores más marcados en los cuales el discurso del CISO deberá insistir. En esta medida, cuanto mayor sea el detalle del nivel de mejoramiento o aseguramiento se va a tener con la iniciativa mejor podrá entender la alta gerencia los beneficios propios de la misma. En esta vista, el CISO deberá hablar claramente y comprender con detalle las expectativas de las áreas impactadas, para establecer los alcances y logros que se van a tener al desarrollar los proyectos planteados.

Reconocer el tipo de CISO que se tiene en la empresa, nos permite conocer el nivel de relacionamiento y el tipo de lenguaje que los ejecutivos manejan frente al gobierno corporativo. Por tanto, se hace necesario establecer y evaluar en el perfil de los ejecutivos de la seguridad de la información, su capacidad para comprender las complejidades propias del negocio, su destreza y habilidad para analizar la dinámica asimétrica del flujo de información en los procesos de negocio, y su interacción con el entorno, así como la capacidad para descubrir y descifrar los elementos culturales que aseguran la identidad de la organización, frente a su perfil de riesgos y controles para avanzar en el logro de sus metas grandes y ambiciosas.

Transformación del CISO:  Un Reto Emergente

Es claro que conforme avanzamos en esta nueva década, nuevos retos empresariales se proponen, nuevas tecnologías aparecen y renovados desafíos aparecen para cuestionar nuestros modelos mentales. En este contexto, el CISO debe estar atento a descubrir rápidamente estas tendencias y reinventarse para mantenerse activo y alerta, frente a una inseguridad de la información que cambia, que exhibe patrones conocidos de acción y movimientos novedosos, que aún no se conocen.

En esta medida, el CIO Executive Board en su documento sobre descripciones de cargo emergentes para CISO, establece una ruta de evolución de habilidades de los ejecutivos de la seguridad de la información, para hacerle frente a las presiones de los negocios móviles, sobrecarga de la información y exigencia de servicios novedosos e instantáneos.5 Para este instituto, el CISO debe sufrir una transformación acelerada que le permita pasar de ser un analista de infraestructuras técnicas a ser un arquitecto empresarial de seguridad que, estudiando los riesgos propios del negocio, establezca las recomendaciones más adecuadas que permitan a la empresa moverse más rápido y de manera confiable. Esto es, comprender y actuar frente a los riesgos inherentes de las iniciativas estratégicas de la empresa para proteger el modelo de generación de valor de la compañía.

Luego, los autores de CIO Executive Board debe pasar de ser un evangelizador en la formulación de estándares, prácticas y procedimientos que aseguren la información en los procesos de negocio a ser un socio innovador que sea parte de la estrategia corporativa, que encuentre en los retos empresariales formas diferentes de aseguramiento de la información y acciones claras que enriquezcan el modelo de generación de valor del negocio.6 Esto es, el CISO debe ser un estudioso y reconocido facilitador de la generación de confianza de la junta directiva que asegure el compromiso de sus miembros para apalancar iniciativas que preparen a los negocios para anticiparse a los riesgos de un ambiente interconectado y de peligros inminentes frente al intercambio de información.

Finalmente, los analistas del documento establecen un reto significativo para el CISO como parte del ejercicio de alineación y reconocimiento del rol del CIO, que es evolucionar de ser el custodio de la estrategia de seguridad de la información a compartir la responsabilidad de la formulación y articulación de la estrategia de gestión de la información, en donde la calidad y la seguridad hacen parte inherente de la misma distinción.

Es decir, encontrar en la información la fuente para que la organización genere diferencias significativas en sus márgenes de operación, nuevas posibilidades de negocio y sobremanera, una forma de mantenerse fuera de la zona de confort, retando constantemente sus objetivos estratégicos para transformar su entorno y marcar un liderazgo reconocido y sostenible.

En síntesis, el CISO enfrenta una seria mutación genética en su perfil, pues deberá utilizar sus conocimientos técnicos de riesgo y aseguramiento de cumplimiento para evolucionar en su relacionamiento con las áreas de negocio y, así, descubrir y proponer un nuevo lenguaje de la seguridad de la información que fluya desde los procesos, hacia el área de seguridad, que sea complementario a las prácticas, estándares y procedimientos que se generan en ésta.

Reflexiones Finales

Resolver la exigencia actual entre la flexibilidad y la rapidez frente a la demanda de información de los ejecutivos de las empresas es equivalente al reto permanente que se presenta entre seguridad y funcionalidad. Mientras en la primera realidad, los gerentes aseguran que “para algunos tipos de información, un cierto grado de imprecisión no significa que ésta no pueda ser útil”;7 en la segunda, una falla en el aseguramiento de la información, bien por pérdida o fuga de la misma, es un evento que no puede pasar desapercibido.

En este sentido, los gerentes de la seguridad de la información deben comprender que cada vez más su responsabilidad va más allá de los riesgos de la información per se para hacerse más visibles frente a los riesgos de negocio y cómo la información fluye en los procesos que lo soportan. En consecuencia, estos ejecutivos de la seguridad deben reconocer y avanzar en estrategias de relacionamiento correctas que permitan transmitir el mensaje adecuado a la alta gerencia y comenzar a quebrar el paradigma técnico que ha venido cargando el área de seguridad de la información desde sus inicios.

En conclusión—y conscientes de que la formulación de una estrategia de seguridad de la información responde a una vista tripartita: balance de necesidades, aseguramiento normativo y afianzamiento de la cultura de protección—se requiere que el CISO asuma el rol más adecuado para darle cumplimiento a su misión y enfrentar de manera decidida los retos que la dinámica de la organización le exige y las particularidades de su negocio le demandan.

Por tanto, teniendo claridad del sector de negocio donde se encuentra, el CISO debe encontrar la sabiduría y la prudencia para tomar la decisiones que corresponden para darle la tranquilidad a la alta gerencia que, a nivel táctico y operativo, hay prácticas aseguradas que si bien no son infalibles, si están diseñadas e incorporadas para responder ante eventualidades y asegurar la continuidad de las operaciones cuando la inseguridad se materializa.

Todo esto debe motivar una renovación del liderazgo del CISO desde su propia vista personal, para confirmar en su propio ejercicio de reconocimiento de habilidades y destrezas, la forma para pasar de ser “soporte y apoyo” a “socio confiable”; para cambiar de la vista de “riesgos y controles” a ser “gestor de la estrategia.” En pocas palabras comprender que, como anota John Maxwell, se hace necesario “hacer las preguntas correctas, en el momento correcto y con las personas correctas,” como preámbulo y fuente inspiración para descubrir el potencial del área de seguridad del información y la estatura humana de cada uno de sus integrantes.8

Agradecimientos

El autor agradece a los revisores externos, así como a los ingenieros y maestros Andrés Almanza y Eduardo Carozo, por su tiempo y valiosos comentarios que permitieron afinar y ajustar las ideas propuestas en este artículo.

Bibliografía

Goodyear, Marilu; Holly T. Goerdel; Shannon Portillo; Linda Williams; “Cybersecurity Management in the States:  The Emerging Role of Chief Information Security Officers,” IBM Center for The Business of Government, USA, 2010

Referencias

1 Davenport, Thomas H.; Jim Hagemann Snabe; “How Fast and Flexible Do You Want Your Information, Really?”, MIT Sloan Management Review, vol. 52, no.3, spring 2011
2 Kayworth, Tim; Dwayne Whitten; “Effective Information Security Requires a Balance of Social and Technology Factors”, MIS Quarterly Executive, vol. 9, no. 3, September 2010
3 Peppard, Joe; Chris Edwards; Rob Lambert; “Clarifying the Ambiguous Role of the CIO”, MIS Quarterly Executive, vol. 10, no. 1, March 2011
4 Enns, Harvey G.; Dean B. McFarlin; Sid L. Huff; “How CIOs Can Effectively Use Influence Behaviors”, MIS Quarterly Executive, vol. 6, no. 1, March 2007
5 CIO Executive Board, “Chief Information Security Officers, Jobs Descriptions for Emerging Roles, Overview of Role by 2015,” USA, 2010
6 Ibid.
7 Op cit, Enns, Harvey G.; Dean B. McFarlin; Sid L. Huff
8 Maxwell, John C.; Liderazgo, Principios de Oro:  Las Lecciones que He Aprendido de una Vida de Liderazgo, Grupo Nelson, USA, 2007

Jeimy J. Cano, Ph.D., CFE.
Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho y Profesor Distinguido de la misma Facultad, Universidad de los Andes, Colombia. Miembro del Subcomité de Publicaciones de ISACA. Contacto:  jjcano@yahoo.com.


Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the Journal.

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2011 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.