A pesar del crecimiento de las amenazas a los sistemas informáticos y los riesgos que enfrentan los negocios en el manejo de su información, todavía existen organizaciones en donde los ejecutivos y los responsables de seguridad tienen percepciones muy distintas sobre dichos riesgos.

Esas diferencias de percepción generan distintos tipos de problemas, pudiendo incluir sentimientos de frustración en el responsable de seguridad, pero, lo más importante de todo, es que muy probablemente la organización no está manejando adecuadamente los riesgos de su información.

Esta serie de artículos pretende revisar algunas causas por las que esas percepciones (entre los ejecutivos y los responsables de seguridad) son distintas y propone medidas concretas para “cerrar” esas brechas. Como se observará en el desarrollo de esta serie, todos los esfuerzos siempre irán encaminados hacia un solo objetivo: manejar adecuadamente los riesgos en la información, y apoyar de esta manera el logro de los objetivos de la organización.

Algunas aclaraciones sobre ciertos términos:

  • CISO (Chief Information Security Officer). Por facilidad, se usará CISO para identificar al responsable de seguridad, aunque el nombre del rol y su jerarquía puede variar de una organización a otra. Incluso sus funciones pueden cambiar, pero para propósitos de este artículo se considerará al CISO como el responsable de establecer una estrategia de seguridad de la información dentro de la organización y de coordinar que dicha estrategia se lleve a cabo.
  • “Vender” la idea. Se usará como sinónimo de convencer, de lograr los apoyos necesarios para que:
    • la organización invierta en la seguridad,
    • los ejecutivos patrocinen esos esfuerzos y
    • los empleados entiendan los beneficios de tener una buena seguridad en la información y modifiquen sus hábitos, actitudes, creencias y acciones para apoyar la estrategia y los controles que se implementen.
  • Audiencias, stakeholders, involucrados. Estos términos se usarán como sinónimos, indicando a “todos los involucrados o afectados con los esfuerzos de seguridad”. Incluso en ocasiones se utilizará también la referencia a “ejecutivos y empleados”.

¿Cómo prepararnos mejor para vender nuestras ideas?

 El objetivo principal de esta sección del documento es dar una visión general de los conocimientos y habilidades que pueden serle muy útiles al CISO para sus funciones, sobre todo para convencer a los ejecutivos y empleados de la empresa sobre los beneficios de la seguridad de la información, y lograr –entre otras cosas- el patrocinio de los primeros y el cumplimiento de las políticas de los segundos.

Es importante recalcar que si bien la estrategia general y el patrocinio deben venderse al más alto nivel (para maximizar el éxito en el envío de los mensajes adecuados y en la alineación a dicha estrategia), también es indispensable que todos los empleados, en el día a día, apoyen en el cumplimiento de las políticas de seguridad. Es más eficiente convencer a los empleados que obligarlos a actuar de cierta forma.

Dentro de los elementos que se han considerado más relevantes para fortalecer los conocimientos y habilidades del CISO están los elementos tecnológicos, el conocimiento del negocio, la psicología social y la inteligencia emocional,  las habilidades de presentación y comunicación, la negociación y el manejo de conflictos, así como los conocimientos de administración de proyectos.

Como se ha dicho antes, no se pretende cubrir en detalle todas las áreas mencionadas, esa tarea es demasiado ambiciosa y llevaría –por lo menos- varios libros. Más bien el propósito es brindarle al lector una perspectiva global, generar el interés sobre temas que parecieran no tan conectados con la seguridad de la información (por ejemplo la psicología social) y darle algunas referencias para que amplíe sus conocimientos.

Conocimientos técnicos

La proliferación de las tecnologías, y la velocidad con la que se liberan nuevos productos, hacen imposible que un CISO pueda hacer un seguimiento apropiado y mantenerse actualizado sobre todas las tecnologías y conceptos de seguridad.

El enfoque que recomienda SCITUM para la formación de los CISO, y que es el mismo que la empresa utiliza para la actualización de sus consultores de seguridad, está basado en dos estrategias:

  • Por un lado es conveniente tener una perspectiva general y amplia de la seguridad, aunque no necesariamente muy profunda. En este sentido, SCITUM recomienda altamente cubrir los 10 dominios del examen CISSP. Ahora bien, un complemento ideal es tener conocimientos generales sobre las diferentes áreas de TI; Patricia Castillo, directora de UniverSCITUM, comentó: “Recomendamos mucho la certificación CISA de la ISACA para probar los conocimientos del candidato en muchas de las áreas de TI, aunque éste no es el objetivo original del examen. Adicionalmente, el candidato debe adquirir la capacidad de ver las cosas como auditor de sistemas, una característica muy útil en cualquier proyecto de seguridad”.
  • Por otro lado, es conveniente que el CISO identifique a los especialistas en cada área (sean internos o externos) quienes apoyarán los proyectos de seguridad.

 SCITUM ha identificado las siguientes especializaciones técnicas que pueden ser necesarias:

  • Análisis de riesgos (incluyendo análisis de vulnerabilidad y hackeo ético).
  • Infraestructura de seguridad.
  • Redes, sistemas operativos y bases de datos.
  • Seguridad en las aplicaciones.
  • Servicios comunes (p. ej. correo electrónico)
  • ERP (Enterprise Resource Planning), CRM, et al.
  • Aplicaciones desarrolladas “en casa”
  • Aseguramiento del proceso de desarrollo.
  • Administración de identidades (Identity Management).
  • Seguridad física.
  • Cómputo forense (a veces llamado “forensia”).
  • Planeación de la continuidad del negocio y recuperación en caso de desastres (BCP y DRP, por sus siglas en inglés).

 Nota: Algunas de las especialidades anteriores no son puramente técnicas.

Es importante recalcar que las certificaciones no son sinónimo de estar preparados para las situaciones reales. Si bien las certificaciones mencionadas han sido diseñadas para probar una serie de conocimientos que se consideran necesarios, estas certificaciones no prueban la eficiencia de un CISO en la vida real. Por ello, se recomienda que la certificación no sea un objetivo del CISO; en este sentido, el objetivo debe ser tener los conocimientos técnicos necesarios para desempeñar la función, y la certificación es una herramienta para conseguir ese objetivo, pero puede haber otras herramientas más: asistencia a eventos y conferencias de seguridad, reuniones de discusión con otros CISO, suscripciones a revistas especializadas.

Entendimiento del negocio

Para poder hacer más congruentes los esfuerzos de seguridad y el marketing asociado, es muy importante entender la organización; su misión, visión y objetivos; su dinámica particular; su contexto económico y principales competidores; su modelo de negocio y cómo se mide su éxito, entre otros aspectos.  Por ejemplo, si un banco está en un esfuerzo de reducción de personal (downsizing), sus prioridades pueden ser muy distintas a las de una cadena de hoteles que está en pleno crecimiento o a los de una entidad gubernamental que -dentro de su contexto de negocio- ahora tiene que cumplir con nuevos requerimientos sobre privacidad de la información.

Para lograr este entendimiento, es necesario que el CISO tenga conocimientos básicos de finanzas y contabilidad y profundice en las particularidades de la organización para la cual trabaja. Para ello, puede empezar con el sitio Web de su organización, los reportes anuales de la empresa, un análisis del organigrama y la lectura de diversos documentos internos, así como conversaciones con diversos directores y gerentes de la organización.

El poder hablarle a los ejecutivos en términos que les sean familiares, como veremos después, ayudará muchísimo en el apoyo que logre para los esfuerzos de aseguramiento de la información (IA, por sus siglas en inglés) .

Psicología social e inteligencia emocional

De acuerdo con las investigaciones de la psicología, el cerebro no es puramente racional (como alguna vez se creyó). Hoy se habla de tres tipos de cerebros:

  • El cerebro primitivo (o reptiliano), que es la parte donde residen los instintos. Cuando percibimos algo del mundo exterior, la primera parte (y la más rápida) de nuestro cerebro es ésta. Se le llama cerebro reptiliano porque los reptiles, y todos los demás animales vertebrados, también tienen una estructura similar, pues es la primera que se crea en la evolución de los vertebrados.
  • El cerebro emocional radica fundamentalmente en la amígdala (se habla aquí de una estructura cerebral; no confundir con otras partes del cuerpo del mismo nombre), aunque parte de la actividad también se realiza en los lóbulos prefrontales. Es en esta parte de cerebro donde se generan las emociones (alegría, tristeza, enojo, ansiedad, compasión, etc.) de acuerdo a los estímulos enviados por el cerebro primitivo. Este cerebro es más rápido que el racional. Por ejemplo, aunque no nos demos cuenta, cuando conocemos a alguien, antes de que la imagen llegue al cerebro racional y empecemos a “registrar” lo que la persona nos va a decir, nuestro cerebro emocional ya generó una emoción en relación a esta persona; en otras palabras, nuestro cerebro emocional ya definió si -de entrada- esta persona “nos cae bien” o no.
  • El cerebro racional es el que procesa toda la información recibida y, utilizando criterios conocidos, establece patrones o comparaciones, determina “racionalmente” si algo es conveniente o no, valora una situación para emitir un juicio o recolectar más información, etcétera.

 Hoy en día sabemos que percibimos el mundo y decidimos con los tres cerebros, y nuestras emociones juegan un papel muy importante.

Por ello, la inteligencia emocional pone mucha atención en que cada persona (y más aún si es un líder) conozca sus propias emociones y las maneje adecuadamente. La inteligencia emocional también brinda herramientas para que las personas puedan identificar las emociones de los demás y actúen en consecuencia.

Además de los conceptos de inteligencia emocional, la psicología social (ciencia que toma sus fundamentos de la psicología y de la sociología) se enfoca en la influencia que la gente tiene con los demás. Una de las áreas que más se ha investigado ha sido el cambio -cómo implementarlo y cómo reducir las barreras para que sea aceptado-. Adicionalmente, los psicólogos sociales han hecho importantes contribuciones para medir, entender y cambiar actitudes, patrones de comunicación y las formas en que las actividades grupales pueden satisfacer las necesidades individuales y los procesos de toma de decisión grupal.

En este entendimiento de nuestras actitudes y la forma en que percibimos el mundo es fundamental el concepto de paradigma o esquema mental. Este esquema mental es el conjunto de reglas, creencias, filtros, preconcepciones y prejuicios que cada persona ha conformado durante su vida  y que nos hacen percibir al mundo de una manera individual. Como ha dicho un experto “Nosotros no vemos la realidad; interpretamos lo que vemos y a eso le llamamos realidad”.

Pero ¿cómo aplicar todo esto a la labor de un CISO?

Más adelante describiré varias formas de aprovechar los conceptos de la inteligencia emocional y la psicología social para mejorar las probabilidades de éxito en diversos esfuerzos de IA. Por ejemplo, si el CISO sabe que en su organización es una costumbre compartir las contraseñas y que, además, éstas no tienen caducidad, y decide crear una política sobre contraseñas que prohíbe este tipo de prácticas,  ¿cómo generar un cambio de percepciones para que los empleados vean que la práctica de compartir contraseñas genera riesgos (posiblemente graves) para la organización y, por lo tanto, cambien su actitud?

De forma similar a la antes mencionada se verá que estos conceptos se pueden aplicar al Programa de Conciencia de la Seguridad (Security Awareness Program), a la creación y difusión de políticas, a la negociación con los altos ejecutivos e, incluso, como veremos en la próxima sección, a la forma en que realizamos nuestras presentaciones y nos comunicamos con los demás.

Habilidades de comunicación y presentación

En el trabajo diario de un ejecutivo, y el CISO no es excepción, frecuentemente se presentan situaciones en las que es muy importante la comunicación directa con las personas, trátese de una plática en la cafetería, de una reunión formal o, incluso, de una presentación que el ejecutivo tiene que hacer.

En todas estas situaciones no sólo es importante la parte “racional” del mensaje (la agenda de temas a tratar; el material que se le entregará a cada participante, etc.) sino las habilidades del CISO para impactar a su audiencia, ya sea un colega en el pasillo o una presentación a los altos ejecutivos de la organización. Este impacto tiene una mayor relación con el cerebro instintivo y emocional, lo que Bert Decker denomina “Cerebro Primario (o First Brain)”, que con el cerebro racional.

En la metodología que desarrolló Decker para lograr presentaciones con impacto, se consideran ocho elementos fundamentales, divididos en dos factores. A continuación se mencionarán brevemente.

El factor visual

  • Comunicación con los ojos (contacto visual). Es indispensable mirar a los ojos de la audiencia para establecer un contacto directo con su “cerebro primario”. El autor sugiere mirar a cada participante (o a cada zona de la audiencia) por un periodo de 3 a 5 segundos.
  • Postura y movimiento. La metodología recomienda usar la posición de “estar listo”: el cuerpo bien erguido y levemente inclinado hacia delante; igualmente es aconsejable moverse con seguridad pero sin exageraciones.
  • Vestido y apariencia. En resumen: vestirse de acuerdo a la audiencia y a la ocasión.
  • Gesticulación y sonrisa. Es importante estar consciente de la gesticulación que uno tiene cuando realiza una presentación (evite gestos que reflejen emociones negativas como el enojo, el aburrimiento o el rechazo). Los gestos amables y de apertura, incluyendo una franca sonrisa, son altamente recomendables.

 El factor energía

  • Voz y variedad vocal. Modificar el tono y volumen de la voz es una práctica muy útil para lograr una mayor atención de la audiencia.
  • Palabras y muletillas (words and non-words)). Debemos evitar la utilización de muletillas: “este”, “o sea”, “¿OK?”, e incluso “etcétera”. Una buena práctica es sustituirlas por una pausa (mientras ordenamos la siguiente idea).
  • Involucramiento de la audiencia. A través de la combinación adecuada de los elementos anteriores y de otras herramientas mencionadas en las referencias, el presentador podrá captar la atención de la audiencia y lograr que estén realmente involucrados.
  • Humor. Como demuestra Decker a través de varios ejemplos, el buen humor permite que el “contacto emocional” se haga más fácil, la audiencia se sienta más cómoda y la comunicación sea más eficiente.

Continuará…

[email protected]