¿Por qué algunos ejecutivos son los que motivan las malas prácticas en seguridad de la información?

¿Qué es lo que ellos hacen diferente, que no es compatible con las prácticas de seguridad de la información? 

Introducción

Estas preguntas rondan con frecuencia los pensamientos de muchos ejecutivos de seguridad de la información. Inquietudes que pueden tener muchas interpretaciones y reflexiones como quiera que mucha de la apropiación de la práctica de seguridad de la información de una empresa, se lee desde el ejemplo de los miembros de la alta gerencia.

Si quisiéramos explicar un poco este comportamiento, que es el más reiterado y documentado en varios estudios, habría que ver un poco la dinámica de estos dirigentes, donde las actividades diarias asociadas con la atención de reuniones, las responsabilidades propias del cargo y la necesidad de agilidad en sus decisiones (para lo cual requieren acceso expedito a información, muchas veces privilegiada) establecen un referente básico de revisión y análisis de las prácticas de seguridad y control de estos directivos. 

Atender las reuniones

La agenda en general de los directivos de una empresa  está colmada de reuniones, para lo cual requieren información permanente, que le permita documentarse sobre el tema y tener una vista general para poder establecer alguna postura. En este ejercicio, interviene no solamente el ejecutivo, sino sus asistentes, los cuales ubican la información y preparan lo pertinente para efectos de documentar a su superior para la reunión.

Esta interacción delega de forma sutil en los asistentes la responsabilidad del manejo y control de la información, pues su papel fundamental no está en el control de los datos requeridos para tomar una decisión, sino en el uso que éste (el ejecutivo) le da para poder participar de las conversaciones previstas en los niveles adecuados de la organización. En este escenario, al recibir información (particularmente restringida o reservada) el ejecutivo no advierte o muchas veces ignora su nivel de sensibilidad, generando vectores de pérdida y/o fuga de información, que terminan con exposición de datos de forma no intencional. 

Considerando lo anterior, se hace necesario encontrar espacios de conversación con los directivos de las empresas, no para recordarles lo sensible de la información que manejan, sino los impactos que puede generar el inadecuado manejo de la información, los cuales afectan no solo la imagen de la empresa, sino que habla de las prácticas personales del ejecutivo sobre su tratamiento.

No obstante, para aquellos casos donde aun teniendo el conocimiento concreto del nivel de confidencialidad y la advertencia propia de los estándares corporativos sobre el particular, no se toman los recaudos del caso, deben aplicarse las consecuencias prevista en el contexto del gobierno corporativo, sobre el deber de cuidado propio de las juntas directivas y cuerpos de dirección, donde existe por definición indicaciones para temas específicos como el “silencio de oficio”. 

Responsabilidades del cargo

Generalmente cuando un ejecutivo es contratado por una organización, pocas veces recibe entrenamiento sobre los protocolos del tratamiento de la información de la empresa. Se deja a la buena intención e intuición del nuevo directivo la forma como debe tratarse los datos, que por ocasión de su cargo, va a tener acceso.

Sin perjuicio de lo anterior, las descripciones de cargo por lo general incluyen algunos elementos propios de la protección de la información, los cuales son algunas veces pasados por alto por los ejecutivos, concentrándose en aquellos temas medulares de su especialidad, donde particularmente esperan que genere valor para la empresa. Si bien esto puede ocurrir, no está de más que la empresa motive prácticas de seguridad y control que le recuerden a los directivos, el activo estratégico que tienen en sus manos; no solamente en formato físico, sino electrónico y de forma conversacional.

Cuando un ejecutivo asume su cargo, debe pensar no solamente en la responsabilidad que asumen al llegar a esa posición, sino lo que conlleva el tener acceso a la información y sus actuaciones tanto dentro como fuera de la empresa. 

Una conversación de ascensor, un documento en preparación ajustado en un aeropuerto, una pérdida de una tableta o un teléfono inteligente, dejan de ser situaciones aisladas y se convierten en verdaderos eventos que ponen en riesgo la imagen de la empresa, sin contar las posibles implicaciones jurídicas que se puedan presentar por el tipo de información que se puede exponer. 

Agilidad en las decisiones

La dinámica de los ejecutivos modernos los obliga a llevar una vida en movimiento, conectados y en permanente actualización. Una vida agitada claramente poco saludable como quiera que descuidan aspectos propios de su dieta y condiciones personales, temas que escapan al alcance de esta reflexión.

En este escenario, el tratamiento de la información se vuelve un elemento sensible de su actividad, particularmente aquella a la cual tiene acceso para participar de las decisiones propias de la empresa. Contar con mecanismos de seguridad instalados en sus dispositivos les puede generar, a algunos, contratiempos y demoras para acceder a aquello que necesitan; pero a otros, los motiva pues saben que tienen una forma para demostrar su cuidado y control en el eventual caso que se produzca una brecha de seguridad de la información.

Cualquiera sea la postura que asuma el directivo, deberá saber que él se constituye en garante de la información que recibe y maneja; esto es, una representación “casi legal” de la empresa, que le exige el máximo cuidado y control sobre un activo estratégico, donde la organización sabe que tiene un deber legal de cuidado y que el mismo, es transferido a sus ejecutivos cuando se comparte para adelantar las actividades del gobierno corporativo.

Reflexiones finales

Luego de revisar los tres elementos anteriores tenemos algunas pistas para tratar de responder las preguntas. Si las vemos desde los ejecutivos, la exigencia es que: 

los mecanismos de seguridad y control deben ser prácticamente “invisibles”, es decir no deben notarse, pues así es posible conjugar la agilidad que se requiere y la protección que se necesita. 

Si la vemos desde los oficiales de seguridad de la información, la respuesta es en

la concienciación de los ejecutivos sobre el tratamiento de la información y la forma como estos deben asegurar sus prácticas dentro y fuera de la empresa. 

Una vista que si bien se ajusta a las responsabilidades que estos oficiales tienen, se enfrenta a las necesidades particulares de los ejecutivos.

Conciliar estas dos posiciones, requiere necesariamente de un tercero que dirima y disponga de una declaración empresarial que ambos actores lean con claridad y acepten de conformidad. Si la decisión favorece a los ejecutivos y sus demandas, el área de seguridad de la información estará motivada a desarrollar cada día estrategias más automáticas, que necesariamente exigirán importantes inversiones tecnológicas. Si la decisión favorece al oficial de seguridad de la información, los ejecutivos deberán adoptar nuevas prácticas de protección que cambien sus hábitos y actitudes respecto del uso de la información, haciendo evidente las responsabilidades propias de su tratamiento.

Si la decisión no está en ninguno de los dos lados, sino que es una postura que toma lo mejor de ambos escenarios, se hace necesario que aquel que arbitra la problemática, 

Abra un espacio de conversación donde cada parte indique qué puede ceder y que no, para que se establezca una puente de comunicación donde se comparta, no solo la necesidad de agilidad y protección, sino el cambio de actitud y responsabilidad por el adecuado tratamiento de la información. 

Si bien este documento no busca agotar las consideraciones sobre las preguntas que motivaron esta reflexión, si quiere provocar conversaciones entre los interesados para continuar abriendo espacios donde confluyan los intereses tanto de los ejecutivos como de los oficiales de seguridad, que en últimas beneficien a la empresa como un todo. 

* * *

Jeimy Cano, PhD, CFE, es Director de la Revista "Sistemas" de la Asociación Colombiana de Ingenieros de Sistemas (ACIS). El Prof. Cano es, además, Analista Asociado de iTTi. 

Este artículo fue publicado inicialmente en el servicio Pulse de LinkedIn, el 10 de  diciembre de 2015, en la dirección https://www.linkedin.com/pulse/por-qué-algunos-ejecutivos-son-los-que-motivan-las-en-jeimy 

----------------------------------

Referencias 

International Chamber of Commerce (2003) Information security assurance for executives. Recuperado de: https://www.intgovforum.org/cms/documents/contributions/general-contribution/2009-1/329-information-security-executives/file 

Veracode (2015) Cyber-Related Corporate Liability is Top of Mind for Boards and Executives. Recuperado de: http://www.informationsecuritybuzz.com/study/cyber-related-corporate-liability-is-top-of-mind-for-boards-and-executives/ 

PricewaterhouseCoopers (2015) The Global State of Information Security® Survey 2016. Recuperado de: http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/key-findings.html 

Information Security Magazine (2011) Security Education: A Lesson Learned? Recuperado de: https://www.infosecurity-magazine.com/magazine-features/security-education-a-lesson-learned/ 

Monteleone, F. (2015) Effective information security governance: executive support a must. Recuperado de: http://www.dataprivacyandsecurityinsider.com/2015/07/effective-information-security-governance-executive-support-a-must/