La seguridad de la información en el imaginario de las Juntas Directivas. Un reto de transformación de creencias, actitudes y valores
Jeimy Cano
Jeimy Cano
Introducción
Considerando la digitalización acelerada de la sociedad y las exigencias de los clientes por nuevos servicios y posibilidades, las organizaciones requieren cambiar de igual forma para estar a tono con esta nueva realidad. Ahora más que nunca las tendencias, las actitudes, los comportamientos y las necesidades de las personas, cobran mayor relevancia, toda vez que ellas manifiestan sus requerimientos a través de medios informáticos, los cuales deben ser capturados y potenciados por aquellos que están preparados para este reto.
En este sentido, la velocidad de los negocios cambia de manera dramática, lo cual establece un reto para la junta directiva: leer el entorno y responder tan rápido como sea posible, bien para crear una nueva ventaja diferencial, o desarrollar una novedad disruptiva que cambien la forma de hacer los negocios en su sector.
Todo esto es posible si la información disponible se puede aprovechar, no solamente para ver los patrones del entorno, sino para modelar nuevos o dimensionar lecturas alternativas que permitan una ventana de innovación consistente y permanente que mantenga quiebres constantes en aquellos que definen la visión de las empresas.
Si lo anterior es correcto, las tecnologías de información y comunicaciones (TIC) son elementos fundamentales para movilizar los esfuerzos requeridos en la transformación de las capacidades de los negocios y articular las actividades cotidianas de la empresa, haciendo más agiles sus procesos, motivando nuevas competencias en las personas e incorporando herramientas tecnológicas que desarrollen un ecosistema tecnológico alineado con los objetivos corporativos.
Lamentablemente a la fecha, el área de TIC lleva el peso de una tradición empresarial generalmente asociada con puntos de servicio, soporte y operaciones, un imaginario que se ha construido por muchos años y que solo recientemente está comenzando a cambiar. Este imaginario, muy acentuado en las juntas directivas se manifiesta en posiciones como:
Cada una de estas expresiones manifiesta una lectura fallida de expectativas, una declaración no efectuada de solicitudes y una lectura del imaginario que cada miembro de junta tiene respecto de la tecnología y su implementación en las organizaciones.
Estas premisas confrontan al ejecutivo de tecnología de información frente a su papel en la organización, motivando reflexiones exigentes que demandan habilidades nuevas para modificar el imaginario actual y causar un cambio efectivo en los miembros de junta, que le permita establecer una ruta alterna y renovada del ejercicio de su cargo en la empresa.
Todo lo anterior es equivalente, leído en términos del ejecutivo de seguridad de la información, pues su evolución ha permeado igualmente su papel en las organizaciones desde el inicio, fundamentado inicialmente con un lenguaje técnico de seguridad y control que responde a la operación, semejante a lo que se define para la seguridad física; que luego se transformó en una gestión de riesgos y amenazas respecto del manejo de la información y que quiere hoy dar el salto a una lectura en términos de negocio, como fuente natural de ventaja competitiva en un mundo altamente interconectado, instantáneo, incierto e inestable.
En este sentido, esta reflexión busca profundizar en el imaginario de los miembros de junta directiva respecto de la seguridad de la información y los momentos actuales que se viven en las organizaciones, para establecer algunas premisas de transformación de tal imaginario que permitan confirmar la expectativa de los aportes del CISO (Chief Information Security Officer) como fuente de ventajas estratégicas que protegen el valor de la empresa y habilitan la creación de nuevos desarrollos empresariales.
Aproximación conceptual al imaginario de los miembros de junta
Generalmente un imaginario está lleno de creencias, valores y actitudes que hacen parte de la forma como una persona se aproxima a la realidad y toma decisiones en este contexto. En este sentido, no es natural que una persona haga evidente estos elementos y, por tanto, se requieren estrategias que permitan dar cuenta de ellos, para revelar esa lectura del entorno y sus prioridades basado en estos elementos subyacentes de los seres humanos.
Los miembros de junta generalmente vienen de diferentes mundos o mundos conocidos, algunos más experimentados que otros. Muchos de ellos sometidos a grandes presiones y otros más recorridos en temas estratégicos creando oportunidades para las empresas. Así las cosas, un miembro de junta, generalmente conocido como director, tiene una vista amplia de las organizaciones y procura estrategias que buscan capitalizar lo mejor de las oportunidades para beneficio de la empresa y, por tanto, para engrosar su capital político, fundamento de su actuar en estos cuerpos colegiados.
No es frecuente que entre los miembros de junta haya personas conocedoras de las tecnologías de información o menos de seguridad de la información. Ellos saben que son temas relevantes, pero no cuentan con una lectura completa de dicha temática, dejando a su experiencia la interpretación de los mismos, encuadrándolos en aquello que conocen de su larga trayectoria, sin darse la oportunidad de hacer un quiebre que les descubra nuevas opciones y posiciones que renueven sus creencias respecto de dicho tema.
Así las cosas, encontramos el analfabetismo digital como una enfermedad recurrente en los cuerpos directivos colegiados, que tratan de leer el negocio desde la perspectiva natural de las inversiones, alianzas y utilidades, sin conectar las relaciones clave de las organizaciones modernas, basadas en información y conocimiento, las cuales tienen sus redes en los sistemas de información y el aseguramiento de los procesos de las empresas.
En este sentido, el imaginario relevante de los directores no lee la variable tecnología o seguridad, como elemento clave de los negocios, hasta que la inevitabilidad de la falla logra penetrar y afectar las decisiones que hacen parte de los planes estratégicos de la empresa. Una fuga de información sensible, una falla de un sistema de información que compromete información de clientes, una ataque masivo que deja inutilizada a la empresa, eventos reportados recientemente que cambian la lectura de la estrategia empresarial y torna la mirada sobre elementos que siempre habían estado allí y que ahora demandan atención, pues se pone en peligro no solamente la empresa, sino su capital político respecto del entorno.
Frente a esta realidad, el imaginario del director entra en tensión con la lectura del entorno que le obliga a documentarse sobre qué significan y cómo pueden afectar los destinos de la empresa las variables tecnología y seguridad de la información. En este ejercicio, que significa un esfuerzo particular del miembro de junta, se percata de que existen eventos de alcance internacional que manifiestan una preocupación en otras juntas directivas y que, de alguna manera, vale la pena revisar y analizar en el contexto de su participación actual.
Una vista parcial y conceptual del imaginario actual de un miembro de junta tradicional, frente a la tecnología y la seguridad de la información, podría expresarse como sigue:
Imaginario |
Tecnología de información |
Seguridad de la información |
Creencias (Convicciones del sujeto, a partir de la información poseída, de que realizando una conducta dada obtendrá resultados, positivos o negativos, para él – (Escámez, García, Pérez y Llopis, 2007, p.50) ) |
“Los que soportan la operación”, “Los que arreglan los equipos”, “Los que nos ayudan para usar el ERP” |
“Los que instalan los antivirus”, “Los que hacen lentos los equipos”, “Los que nos restringen la navegación” |
Valores (Conjunto de cualidades que moldea la identidad de las personas que pertenecen a una comunidad. – (Escámez, García, Pérez y Llopis, 2007, p.20) ) |
Ayudar, Apoyar, Colaborar |
Restringir, Bloquear, Limitar |
Actitudes (Predisposición aprendida para responder consistentemente de un modo favorable o desfavorable con respecto a un objeto social dado - (Escámez, García, Pérez y Llopis, 2007, p.50) ) |
Positiva – Si en el pasado ha tenido una experiencia satisfactoria respecto de un requerimiento solicitado. Negativa – Si en el pasado ha tenido una experiencia negativa respecto de un requerimiento solicitado. |
Positiva – Cuando las medidas de seguridad no se notan, o son invisibles respecto de las acciones que ellos requieren para operar. Negativa – Cuando ocurre un incidente de seguridad que los afecta a ellos o la empresa, como quiera que la seguridad es algo que otros hacen por ellos. |
Tabla No. 1. Revisión conceptual del imaginario de los miembros de junta sobre Tecnología de información y Seguridad de la información.
En este sentido, el imaginario que los miembros de junta tengan respecto de la seguridad de la información será información relevante para establecer la forma a través de la cual el ejecutivo de seguridad de la información debe interactuar y, por otro lado, para fundamentar la estrategia que permita motivar un cambio respecto de la temática, apalancado en la relevancia de los resultados obtenidos y las invariabilidades propias de la gestión de la seguridad de la información, ocasionadas por la inevitabilidad de la falla.
Cruzando dos imaginarios: la Junta Directiva y el CISO
Cuando el CISO no tiene en consideración el imaginario de su junta directiva respecto de su papel en la organización, no entra a negociar, sino a regatear. Durán (2015) lo define claramente cuando afirma que:
Lo primero que hay que entender es que negociar no es una carrera en la que gana el que cruza primero la línea de meta. Cuando eso sucede, la negociación resultó fallida. Una transacción exitosa se logra cuando ambas partes traspasan el umbral al mismo tiempo. Es decir, cuando ambos finalizan satisfechos del resultado y estarían dispuestos a repetir la experiencia. (…) Cuando en una negociación, alguien se sienta asfixiado y el otro se sienta el conquistador triunfante, allí no hubo negociación sino regateo (Durán, 2015).
En razón a lo anterior, muchos de los grandes reparos que se escuchan por parte de los ejecutivos de seguridad son precisamente que, cuando entran al recinto de la junta, siempre llegan con el marcador en contra, como quiera que hay una posición dominante, un juicio y lectura que se sobrepone a todo lo demás, que no deja espacio para motivar una ruta compartida, dado que no son evidentes las creencias, actitudes y valores que los directores tienen del tema que se presenta.
Habida cuenta de lo anterior, es necesario que los ejecutivos de seguridad de la información desarrollen la habilidad para detectar y analizar los imaginarios de su junta directiva, para establecer una construcción colectiva de lo que significa la seguridad de la información para la empresa, cómo se percibe en el ejercicio de los directores y la manera como le permite al negocio una vista diferente a la tecnología y le plantea referentes novedosos para repensar los objetivos estratégicos de la corporación.
Por lo tanto, no se trata exclusivamente de un ejercicio de autoridad e influencia per se del CISO (como características propias de sus competencias), como lo anota Violino (2014), sino de comprensión de doble vía con los directores, que dé oportunidad para compartir y desarrollar una lectura conjunta de la seguridad de la información en el contexto de los objetivos de negocio, para que en la agenda del CEO (Chief Executive Officer) (Parakala, 2015) y de la junta directiva, los riesgos y amenazas de la empresa, como pueden ser, entre otros, ataques masivos o ciberataques, no se lean como un reto típico de tecnología de información de la empresa, sino como una oportunidad para repensar las exigencias del negocio y motivar una vista conjunta de los impactos operacionales y estratégicos de la compañía.
En consecuencia, leyendo en clave de seguridad de la información la propuesta de Marchand y Peppard (2014), respecto de las mentalidades de los gerentes de negocio y el CIO (Chief Information Officer), podemos advertir algunas indicaciones que nos pueden ayudar a detectar elementos que los miembros de junta tienen en sus imaginarios y así comenzar a visualizar mejores formas de aproximación y aprendizaje del tema de seguridad y control en la organización.
Figura No.1 Mentalidades de la Junta Directiva y el CISO (Adaptado de: Marchand y Peppard, 2014).
Reflexiones finales
De acuerdo con el documento de CTPartners (2015) el CISO del 2020 deberá desarrollar una vista holística de los riesgos y amenazas que proteja los activos más sensibles de la empresa, proveer orientación y apoyo a la junta directiva para anticipar y responder a las amenazas emergentes, así como a requerimientos normativos relevantes para la operación de la compañía, con una postura de influencia y liderazgo ante entes externos de la empresa, que permita desarrollar una comunidad de contactos que asista a la empresa cuando eventos relevantes se presenten.
En este sentido, el CISO debe comenzar a construir un capital político clave que le permita acceder con mayor facilidad a los miembros de junta y así profundizar con mayor precisión en su imaginario para participar más activamente en la revisión de la estrategia de la empresa, como custodio y guardián del valor de la empresa, representada en activos estratégicos de información. Esto se logra, entre otras cosas, participando en círculos de asociaciones internacionales relevantes del tema o de su sector, motivando reuniones con actores clave del entorno para compartir experiencia y apoyando ejercicios de construcción colectiva de referentes de la industria en sus temáticas particulares.
Si bien el CISO debe tener habilidades manifiestas de buen comunicador, estratega, motivador y vendedor, no será suficiente para lograr transformar la esencia de su función y la fuente de su gobierno, si no logra leer con mayor claridad el imaginario de su junta directiva; o mejor, si no motiva un cambio en él, que le permita alcanzar mayor visibilidad de sus actos en el gobierno de la seguridad de la información.
Así las cosas, el CISO debe transitar los caminos de los educadores, quienes permanentemente están abriendo oportunidades para aprender y buscando maneras novedosas para que sus estudiantes eleven su nivel de conocimiento y entiendan que su misión no consiste en “darles respuesta a todas sus preguntas”, sino en “ayudarles a construir mejores preguntas” y, en este intercambio, dejarse sorprender y anticipar nuevas formas para comprender la seguridad de la información desde la inevitabilidad de la falla.
Referencias
Durán, C. (2015) Negociar no es regatear. Forbes México. Recuperado de: http://www.forbes.com.mx/negociar-no-es-regatear/
CTPartners (2015) GET 2020. CISO 2020. Recuperado de: http://www.ctnet.com/uploadedFiles/CTPSite/Content/Why_CTPartners/Insights_and_Publications/GET_2020/CTP_GET2020BrochureFinal.pdf
Violino, B. (2014) Does Your Title Match Your Authority?. CIO Magazine. Recuperado de: http://www.cio.com/article/2378982/careers-staffing/does-your-title-match-your-authority-.html
Parakala, K. (2015) What CEO Really Wants From The CIO. Recuperado de: http://www.cxotoday.com/story/what-ceo-really-want-from-a-cio/
Marchand, D. y Peppard, J. (2014) Leadership mindset for IT Success. The European Business Review. April. Recuperado de: http://www.europeanbusinessreview.com/?p=302
Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes. Teoría y práctica. Madrid, España: Editorial Octaedro-OEI.
Autor:
Jeimy J. Cano M., Ph. D., CFE. Profesor Distinguido y miembro fundador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho de la Universidad de los Andes, Colombia. Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes. Especialista en Derecho Disciplinario por la Universidad Externado de Colombia. Ph. D. en Administración de Negocios por Newport University, CA. USA y Ph. D. (c) en Educación por la Universidad Santo Tomás. Obtuvo un Certificado Ejecutivo en Liderazgo y Administración del MIT Sloan School of Management y es egresado de los programas de formación ejecutiva de Harvard Kennedy School of Government: Liderazgo en el siglo XXI: Agentes globales de cambio y Ciberseguridad: Intersección entre política y tecnología, ambos en Boston, USA. Ha sido reconocido como "Cybersecurity Educator of the year 2016" para Latinoamérica conferido por Cybersecurity Excellence Awards. Es Examinador Certificado de Fraude – CFE por la ACFE y Cobit5 Foundation Certificate por ISACA. Cuenta con más de 20 años de experiencia como académico y profesional en seguridad de la información, auditoría de TI, forensia digital, delitos informáticos, privacidad y temas convergentes en Colombia y Latinoamérica y más de un centenar de publicaciones en diferentes eventos y revistas nacionales e internacionales.