May/Jun 2017  |  Núm. 25






Jeimy J. Cano, Ph.D, CFE

En esta edición

Desalineación entre los negocios y la seguridad de la información: un escenario de decisiones mejor informadas

En pleno avance de una sociedad digitalmente modificada y una creciente evolución del ecosistema tecnológico de las naciones, la seguridad de la información como práctica y función adquiere matices nunca antes vistos y se somete a retos inexplorados, que exigen necesariamente una renovación de su “caja de herramientas” para motivar cambios y transformaciones mediadas por lo digital, lo instantáneo, lo móvil y lo tercerizado (Waslo, Lewis, Hajj y Carton, 2017).

En este escenario, donde lo dinámico y versátil es la constante, donde la demanda de aquello personalizado es la norma, la seguridad de la información debe balancear muy bien su reto de riesgos y controles, con la necesidad de agilidad y usabilidad que las organizaciones tecnológicamente modificadas requieren. Por tanto, cuando una nueva disrupción tecnológica aparece, al menos tres preguntas surgen desde el punto de vista de seguridad y control:

Si bien las expectativas que se tienen del responsable de seguridad de la información, generalmente están asociadas con que la brecha de seguridad no se presente, las tres preguntas previas, buscan establecer algunos patrones de la inevitabilidad de la falla, como quiera que es necesario comprender las posibles dinámicas e impactos que una brecha pueda generar y anticipar acciones que permitan un margen de operación de la organización, mostrando diligencia y eficiencia para atender el evento contrario que se pueda presentar.

En este escenario de nuevas amenazas invisibles e imperceptibles, la función de seguridad de la información, deberá aumentar su sensibilidad y capacidad para leer el entorno de manera permanente y en tiempo real, con el fin de correlacionar y advertir posibles eventos que puedan crear inestabilidades claves frente a la dinámica de la organización (Moynihan, 2017), no sólo en términos de las vulnerabilidades de la infraestructura, sino de las nuevas posturas de los negocios y sus propuestas inéditas con sus clientes.

En consecuencia, se le pedirá al área de seguridad de la información que privilegie las necesidades del negocio, como fundamento de su actuar, pues de no hacerlo, estaría en contravía de la estrategia de la empresa y creando una pérdida de valor estratégico en ella.

Frente a esta tensión, cada día creciente en el contexto actual, se debe concretar dos acciones claves que permitan entender la realidad de las decisiones que se van a tomar y el perfil de riesgo de aquellos que van a ser responsables.

En primer lugar, desde el punto de vista empresarial, los negocios novedosos demandan acciones arriesgadas, no a cualquier precio, sino calculadas de acuerdo con el portafolio de proyectos y capacidades que la organización tiene previstos. En este sentido, el área de seguridad de la información deberá participar en el diseño y conceptualización de estas propuestas desde sus inicios con el fin de advertir los riesgos claves que se van a asumir y cómo mitigar los efectos en el evento en que éstos se materialicen.

Lo anterior no es un ejercicio de negociación del nivel de riesgo, sino una apuesta por entender la realidad de las posibilidades, las exigencias e impactos que la nueva propuesta tecnológica trae y lo que está dispuesta a hacer la organización para cruzar este nuevo umbral de innovación, sabiendo que está navegando por senderos desconocidos y los supuestos de seguridad y control no serán los que inicialmente se habían planteado.

En segundo lugar, la función de seguridad de la información por definición tiene una postura moderada de riesgo, basada generalmente en su capacidad de monitoreo y anticipación vigente, la apropiación de la cultura de protección de la información y su nivel de capital político disponible ante la junta directiva. Cuando alguno de estos indicadores, no se encuentre en un estado óptimo sus actitudes serán más conservadoras generando tensiones con los negocios y las lecturas estratégicas de la empresa.

Si definitivamente el nivel de riesgo que la organización quiere tomar, rebasa lo que la función de seguridad de la información ha previsto, deberá entrar a revelar no sólo los impactos que puede traer la materialización de un riesgo, sino motivar un análisis detallado de la propuesta y sus alcances, para que los ejecutivos teniendo claro el panorama de oportunidades y amenazas claves puedan tomar una decisión informada.

Es claro que si bien este ejercicio comentado previamente será sano para los miembros del directorio y las unidades de negocio, con el fin de sincerar las expectativas frente a los grupos de interés afectados, cualquier materialización de eventos desafortunados, en materia de seguridad y control, será atendida por la función de seguridad de la información, que será sometida al juicio, por demás injusto, donde la invulnerabilidad es la base sobre la cual se emiten los conceptos y las sentencias.

Así las cosas, las responsabilidades respecto a la protección de información se hacen evidentes, no en los momentos donde la práctica funciona de forma adecuada, sino cuando las situaciones límites se presentan y las decisiones de alto riesgo se hacen presentes. Allí es donde se requiere comprender cuál es el nivel de compromiso de la alta gerencia y el nivel de riesgo informado establecido, para asumir las consecuencias de acciones calculadas, con impactos necesariamente medidos, donde no sólo la función de seguridad de la información estará presente, sino todos los entes de cumplimiento regulatorio involucrados.

De esta forma, cuando el negocio y la seguridad de la información, se encuentran desalineados en sus vistas tanto de riesgo como de responsabilidades, es posible crear un espacio para desconectar los supuestos de ambos mundos, frente a la perspectiva de riesgos y cómo ésta es afectada en sus decisiones por los impactos y efectos, habilitando una apuesta responsable que funda una vista de decisiones de protección del valor de la empresa representado en el flujo de la información y sus grupos de interés.

En consecuencia, la desalineación entre la función de seguridad de la información y las expectativas del negocio, más que un evento desafortunado, es una oportunidad para los retos estratégicos de la empresa, habida cuenta que, allí se encuentran elementos distintos en los que pensar frente al desafío que se quiere superar y una forma de retar los supuestos de seguridad y control vigentes, frente a las perspectivas y expectativas de los diferentes grupos de interés.

 

 

Referencias

Waslo, R., Lewis, T., Hajj, R. y Carton, R. (2017) Industry 4.0 and Cybersecurity. Managing risk in an age of connected production. Deloitte University. Recuperado de: https://dupress.deloitte.com/dup-us-en/focus/industry-4-0/cybersecurity-managing-risk-in-age-of-connected-production.html

Moynihan, J. (2017) Customized Malware: Confronting an Invisible Threat. Darkreading. Recuperado de: http://www.darkreading.com/vulnerabilities---threats/advanced-threats/customized-malware-confronting-an-invisible-threat/a/d-id/1328524





©2017 ACFE-Capítulo México, A.C., Derechos Reservados.
Aviso de Privacidad
Asociación de Examinadores de Fraude Certificados Capítulo México
Tel. 5207-7557, 5536-0104 | seminario@acfe-mexico.com.mx