Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Jeimy J. Cano

Ingeniero de Sistemas y Computación por la Universidad de los Andes.
Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes.
Especialista en Derecho Disciplinario por la Universidad Externado de Colombia
Doctor en Filosofía de la Administración de Empresas por Newport University, California

Profesor del área de seguridad informática y computación forense.GECTI.
Facultad de Derecho. Universidad de los Andes.Bogotá(Colombia).

BLOG PERSONAL: http://insecurityit.blogspot.com

AUTOR DEL LIBRO:
Inseguridad de la Información. Una visión estratégica. Disponible en:
http://www.alfaomega.com.mx/magento/co/index.php/novedades/novedades/inseguridad-de-la-informacion.html

Es miembro investigador de la Red Iberoamericana de Criptología y Seguridad de la Información CRIPTORED de la Universidad Politécnica de Madrid

jcano@uniandes.edu.co

Gobierno y gestión de la seguridad de la información. Venciendo la zona cómoda del CISO


Introducción

El ejercicio de liderazgo en seguridad de la información demanda una gran dosis de humildad, de exigencia para romper con la inercia de la organización y capacidad de contradicción que le permita, con cada crítica o condicionamiento, sobreponerse con ideas, propuestas y renovada visión de la protección de la información de la compañía.

Lo anterior supone que el ejecutivo de seguridad de la información debe desarrollar habilidades que le permitan superar sus propios paradigmas y repensarse todo el tiempo, teniendo claro el escenario estratégico de la empresa, la agenda de los miembros de junta directiva y las consideraciones asimétricas del entorno donde opera la organización.

En este ejercicio de movilizar la organización sobre los temas de protección de la información el responsable de la seguridad de la información deben observar las prácticas de los líderes visionarios con el fin de anticipar elementos del entorno, conectar los puntos de las variables novedosas y motivarse a desconectar aquellas conocidas, para poder trasegar en medio de la condiciones de los mercados y sectores, que demanda construir una visión de seguridad de la información política y estratégicamente correcta.

En razón con lo anterior, se plantea esta breve reflexión que busca motivar una lectura crítica y desafiante para los ejecutivos de seguridad de la información, con el fin de revelar aspectos de la zona cómoda de estos ejecutivos y así, quebrar la inercia que se puede ir acumulando en el ejercicio diario de cultivar la confianza y la confiabilidad de los datos en los procesos de las organizaciones.

Marco del desarrollo de un líder visionario (De Jong, 2015, cap.3)
De acuerdo con De Jong (2015) dos son las habilidades requeridas para desarrollar un líder visionario: ver las cosas anticipadamente y conectar los puntos. Mientras la primera implica ver señales anticipadamente y reconocer sus impactos potenciales, la segunda implica usar las señales débiles, las incertidumbres y las tendencias para construir una imagen del futuro consistente y coherente, con historias plausibles de cómo pueden ocurrir las cosas.

Al ubicar estas dos habilidades en un plano cartesiano, obtenemos cuatro cuadrantes, con cuatro arquetipos, los cuales definen la forma como las personas avanzan hacia su consolidación como líderes visionarios. Los cuatro arquetipos son: los seguidores, los historiadores, los analistas de tendencias y los líderes visionarios.



Los seguidores, son aquellos que no han desarrollado ninguna de las dos habilidades previamente indicadas, por lo cual no tienen idea de cuál es el futuro al que se verá enfrentado su organización o industria. Los seguidores pueden ser muy buenas personas y excelentes gerentes (establecen comportamientos, negocian recursos y rinden cuentas), pero no esperen que sean aquellos que sean fuente de inspiración, movilicen la innovación, generen quiebres con sus ideas o ayuden a otros a romper sus barreras mentales para ir más allá de la realidad.

El analista de tendencias es aquel que ha desarrollado muy bien sus habilidad para ver cosas de manera anticipada, qué es aquello que está en la línea del conocimiento y generalmente procura una adopción temprana de nuevas tecnologías. Su pensamiento está orientado por las nuevas posibilidades, aun sin son o no coherentes o consistentes. Si bien este arquetipo identifica las tendencias del futuro, no es muy acertado para estructurar ideas e historias coherentes que motiven una persecución estratégica activa por parte de la gerencia.

Los historiadores generalmente citan patrones, hechos y figuras con el fin de presentar un camino coherente y bien intencionado para la organización, cuenta con un pensamiento que prefiere la consistencia y la lógica, por tanto estará menos interesado en nuevos quiebres con coherencia. Su foco es hacer que todo el mundo entienda porqué estamos donde estamos hoy, integrando los eventos pasados en una perspectiva lógica consistente.

El líder visionario toma una perspectiva del futuro balanceando por un lado, la necesidad de un futuro atractivo y posible, con la consciencia de los riesgos propios de ser dogmáticos o demasiado optimistas. En este sentido, el líder visionario, consciente de sus responsabilidades, sus limitaciones y sesgos toma acciones concretas que mitiguen estos elementos, para construir una imagen coherente, retadora y aspiracional del futuro que las personas pueden ver, sentir y oler, más que racionalizarla intelectualmente a través de presentaciones.

Estos cuatro arquetipos, los cuales pueden ser requeridos en algún momento en la empresa, nos ilustran las diferentes vistas y habilidades que se pueden desarrollar para elaborar una visión de futuro, donde una organización es capaz de comprender sus propios dilemas e incertidumbre y lanzarse a construir y hacer realidad un razonamiento estratégico.

Marco del desarrollo de un líder visionario en seguridad de la información
Si leemos estos cuatro perfiles en el ejercicio del gobierno y gestión de la seguridad de la información se ajustan de alguna forma a los cargos que se requieren para hacer realidad la distinción de seguridad de la información en una empresa.

Los seguidores aseguran la gestión de la seguridad de la información; es decir adelantan ciclo planear, hacer, verificar y actuar de manera consistente. Conocen mucho del cumplimiento de normas, buenas prácticas y planes de mejora, de tal forma que la organización se mantenga dentro de los rangos de riesgo requeridos y establecidos respecto del tratamiento de la información en sus diferentes escenarios. Sus reflexiones sobre el futuro están atadas al mejoramiento continuo, que se articula en nuevas actualizaciones de las prácticas, pero no de cambios disruptivos en el sector de negocio de la empresa.

Los analistas de tendencias, en el contexto de la seguridad de la información, se ubican en gobierno de la seguridad de la información. Caminan en el afuera y el mañana, observan los cambios relevantes, las amenazas emergentes y motivan cambios novedosos en campos inexplorados. Procuran y sugieren todo el tiempo la incorporación de tecnologías emergentes para anticipar una protección de riesgos que, aunque se advierte con señales débiles en el ambiente, logran detectar como relevante para la organización. No temen a los cambios, sin embargo descuidan las implicaciones de los mismos para el gobierno de la seguridad de la información.

Los historiadores se ubican tanto en la gestión como en el gobierno de la seguridad de la información, como quiera que los indicadores y estadísticas hacen parte de la forma de cómo ha evolucionado la función de seguridad de la información en el contexto organizacional. La lógica de los hechos y los datos impera sobre las posibilidades que se plantean para mejorar la gestión y el gobierno de la protección de la información habida cuenta que para trazar una camino en medio de lo incierto, saber lo que ha pasado es un factor clave para poder arriesgar un destino en medio de la incertidumbre estructural del entorno.

El líder visionario debería ser el CISO (Chief Information Security Officer), un asesor práctico (sugiere tareas realizables y positivas), pragmático (reconoce que sólo ciertos resultados son posibles), útil (tienen un foco evidente y positivo), centrado (ilustra un camino, ayuda a pensar y actuar en tiempo futuro) y justo (políticamente aceptable y útil) (Lukaszewski, 2008, p.24), que consciente de la complejidad e incertidumbre del entorno donde se encuentra, es capaz de orientar a la organización para tomar riesgos de manera inteligente. Esto es, tener la capacidad de conectar los puntos de diferentes formas y trabajar de manera reposada con la incertidumbre.

Retos del líder visionario en seguridad de la información
El líder visionario en seguridad de la información debe navegar sobre aguas inciertas y decisiones complejas, para lograr la materialización de su visión de futuro, que no es ajena a la realidad organizacional ni contraria al modelo de generación de valor de la empresa. En este sentido el líder visionario en seguridad de la información debe desarrollar aparte de las dos habilidades previamente analizadas, conectar los puntos y ver cosas anticipadamente, cultivar cinco cualidades claves: (Lukaszewski, 2008, p.28-31)
  •         Iniciativa – Tomar una idea, desarrollarla y movilizarla sin una previa aprobación específica.
  •         Inspiración – Identificar a quienes inspira, foco en cómo hacerlo y entender cómo lo hace.
  •         Intuición – Ver soluciones y próximos pasos aún en ausencia de datos o evidencia.
  •         Proyección – Preparar hipótesis, alternativas e ideas acerca de problemas y preocupaciones.
  •         Lealtad – Alineación intencional y concienzuda de objetivos, intereses y acciones.
  •         Urgencia – Usar sabiamente el tiempo para decir cosas brevemente y con fuerza.
En este contexto, los ejecutivos de la seguridad de la información advierten un reto superior, que los motiva a salir de su zona cómoda, para encontrarse con los desafíos de la alta gerencia frente a la movilidad de los negocios y la necesidad de soluciones particulares para hacer que las cosas pasen de manera confiable.

Por tanto, los responsables de la seguridad de la información deberán afinar su intuición experta, para situaciones comunes y corrientes, junto con su intuición estratégica que es lenta y propia para las situaciones inéditas, pues requiere conectar de manera diferente los puntos para proponer alternativas posibles y viables (Duggan, 2009, p.17).

El CISO generalmente denominado experto por la organización, debe estar atento todo el tiempo para apagar su intuición experta, con el fin de “desconectar” los viejos puntos y permitir que se conecten nuevos de manera novedosa. Sólo así es posible que el ejercicio de gestión y gobierno de la seguridad de la información tenga una lectura renovada y avanzada frente al reto permanente de la inevitabilidad de la falla.



Referencias
Duggan, W. (2009) Intuición estratégica. La chispa creativa en la realización humana. Bogotá, Colombia: Editorial Norma.
De Jong, R. (2015) Anticipate. The art of leading by looking ahead. New York, NJ. USA: Amacon.
Lukaszewski, J. (2008) Why should the boss listen to you? The seven disciplines of the trusted strategic advisor. San Francisco, CA. USA: Jossey-Bass

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: IT-Insecurity
Fecha: 2015-07-27

   Mas artículos de Jeimy J. Cano        Otros Expertos   

Este experto ha sido visto por 825 personas.