Zonas grises. Ventanas de oportunidad para la práctica de un CISO
La encrucijada de los responsables de la seguridad de la información en un contexto como el actual, anticipa una crisis sobre sus prácticas, que se ha venido posponiendo a lo largo del tiempo. Una crisis que se advierte a la luz de cinco tendencias que afectan las organizaciones modernas y sus flujos de información críticos:
- Convergencia tecnológica
- Ecosistema digital
- Terceras partes
- Productos y servicios digitalmente modificados
- Aplicaciones móviles
Cada una de ellas, tiene en sí misma una dinámica particular que demanda un estudio personalizado para comprender los retos específicos que se tienen para sintonizar el ejercicio de prácticas de seguridad y control.
Lo anterior, parafraseando a Acosta (2014, p.26) significa “saber dar respuesta a problemas y situaciones que nunca en la vida real se nos van a presentar de forma simple y motivada”, lo que implica no solo conocer los fundamentos de la práctica de seguridad y sus técnicas, sino sobre todo “ser capaz de reconocer cuáles de estos son necesarios para ser eficientes en situaciones complejas y a la vez, distinguir cómo aplicarlos en función de las características específica de la situación”.
En este escenario dinámico y asimétrico de las organizaciones, la seguridad de la información debe reconectar sus prácticas de aseguramiento, fundadas en los cimientos positivas del mundo, donde las causas y efectos son conocidos, y cambiarlos por nuevos enfoques particularmente basados en escenarios, pensamiento de sistemas y de la complejidad, de tal forma que, consultando las recetas detalladas en estándares conocidos, se articulen en contextos inciertos y ambiguos relevantes para las personas y las empresas.
Una aproximación en este sentido, es el aprendizaje basado en casos, a través del cual se describe una situación concreta con finalidades pedagógica para aprender o perfeccionarse en algún campo determinado (Acosta, 2014, p.47). Lo anterior supone establecer contextos específicos donde la “maestría” de los participantes se ponga a prueba para establecer la situación particular, definir los problemas y llegar a sus propias conclusiones (ídem).
En este proceso, deben encarar la realidad de las contradicciones, de las variables no determinadas y la falta de claridad de las actuaciones de las personas. Los efectos de esta dinámica planteada, son las denominadas zonas grises, las cuales exigen de los participantes articular los conocimientos previos, construir una distinción pertinente para la situación y actuar de forma integral, esto es en palabras de Tobón (2013, p.45), “la aplicación articulada de saberes no solo para la persona que ejecuta la acción, sino también para el entorno, con pertinencia y poder de verificación”.
Así las cosas, una zona gris, a pesar de que administrativamente incomoda y genera ruido en la dinámica de los procesos de protección de la información, es una oportunidad para retar el cuerpo de conocimiento conocido de la práctica de seguridad y control, un escenario que introduce incertidumbre y complejidad, que suspende la realidad conocida y abre las puertas a situaciones antes ignoradas, que dan cuenta de la necesidad de anticipar ajustes en los cuerpos normativos y técnicas ampliamente aplicadas.
Una zona gris es un espacio de inestabilidad e indefinición, donde se conjuga la armonía de los contrarios, como fundamento de la decisión que lleva a la acción.
Si antes las zonas grises eran aquellos puntos que la práctica de seguridad y control quería evitar, son ahora los elementos claves para indagar sobre la necesidad de tomar acciones y crear espacios psicológicamente seguros, para lanzarnos a fallar de forma deliberada (Schoemaker, 2011) y así visualizar relaciones y propiedades que el entorno y contexto no nos ofrecen desde la zonas conocidas y estables.
La estabilidad de la gestión de la seguridad de la información, ha comenzado a experimentar las limitaciones de sus referentes estándares para dar paso a una práctica que debe evolucionar en medio de la inestabilidad y las indefiniciones. Esto es, asegurar un cuerpo de conocimiento previo y debidamente instalado, sobre el cual desconectar aquello que conocemos, insertarlo en la dinámica de lo complejo y nuevamente conectarlo de forma enriquecida, para dar cuenta de la realidad modificada y alternada por posturas novedosas.
Las cinco tendencias presentadas anticipan oportunidades y retos para concretar apuestas de valor para las organizaciones, las cuales no deben ser óbice de las nuevas posibilidades que se puedan plantear en las prácticas de seguridad y control. En este sentido, cada vez que una zona gris aparezca, sea una ocasión para crear un ambiente de diálogo entre los riesgos emergentes y sus impactos, con las necesidades corporativas y el perfil de riesgo empresarial, para motivar posturas livianas, sencillas y efectivas, que cuestionen los supuestos vigentes para producir el mayor aprendizaje y manejar los puntos de dolor.
Referencias
Acosta, S. (2014) Pedagogía por competencias. Aprender a pensar. México, México: Ed. Trillas.
Tobón, S. (2013) Metodología de gestión curricular. Una perspectiva socioformativa. México, México: Ed. Trillas.
Schoemaker, P. (2011) Brilliant mistakes. Finding success on the far side of failure. Philadelphia, USA: Wharton Digital Press.
Ingeniero Sistemas Especialista Seguridad de la Información
8 añosSabias palabras para queremos llegar al profundo conocimiento en la Seguridad Informática