http://insecurityit.blogspot.com.

es/2015/02/anotaciones-sobre-las-
competencias-de.html

Anotaciones sobre las competencias de los responsables de la seguridad

de la información. Un ejercicio de resiliencia personal y supervivencia
corporativa

Introducción
Los reportes internacionales sobre fallas de seguridad de la información, el creciente
incremento del fraude por medios electrónicos y la temeridad de los usuarios respecto
del uso de internet, establece un escenario retador para cualquier gerente o responsable
de la seguridad de la información de una empresa, como quiera que estará siempre
inmerso en la tensión de los que quieren apertura total de acceso y los que persiguen
restricciones generales sobre la información (Ponemon, 2014).

Si bien el reto que le impone un escenario incierto, complejo y asimétrico, con eventos
inesperados en cualquier momento, no lo debe atemorizar, si lo debe poner en alerta
para renovar su estrategia de seguridad y control, toda vez que las tecnologías de
seguridad informática por sí solas no le van a proveer la confianza requerida por la alta
gerencia, que hoy se ve amenazada por eventos que no logra comprender, pero que
reconoce puede afectar su posición privilegiada y responsabilidad frente a sus grupos de
interés (Rai, 2014).

Así las cosas, el responsable de la seguridad de la información debe incrementar su

capacidad de entendimiento del entorno, persuadir a la alta gerencia con un discurso
motivador, que lo exhorte a salir de su “analfabetismo” de los riesgos denominados por
la literatura como “cibernéticos” y renovar su visión empresarial desde las prácticas de
las personas, respecto del tratamiento de la información, habida cuenta que son las
imágenes e imaginarios presentes en la cultura de la empresa las que definen las
actitudes de los individuos frente a la información (Rai, 2014; Escámez, García, Pérez y
Llopis, 2007)

En consecuencia, el responsable de la seguridad de la información se debe convertir en

un observador fino de la realidad organizacional para indagar en las creencias, teoría
expuesta y en uso, así como en los artefactos corporativos, para ir en profundidad de las
reales causas y aprendizajes de la organización que hacen parte de la cultura
organizacional de seguridad de la información.

Con el contexto anterior, el ejecutivo de seguridad de la información debe desarrollar un

pensamiento sistémico y transdisciplinar que reconozca la complejidad inherente a las
actividades de la empresa y el desarrollo de su tejido cultural respecto del tratamiento de
la información, para crear un entorno y significados requeridos que le permitan a la
información alcanzar el reconocimiento, por convicción, de activo estratégico, sin
perjuicio que la alta gerencia haga esta declaración (Huerta, Zambrano, Pérez, y Matsui,
2014).

En este sentido, este documento plantea algunas competencias claves de los gerentes de
seguridad de la información, como punto de partida para fundamentar la formación de
estos ejecutivos empresariales, los cuales no tienen otra opción que sumergirse fuera de
las aguas técnicas y de procedimiento, para adquirir nuevas capacidades que le permitan
preparar a la organización para asumir el reto de la inevitabilidad de la falla, el costo de
aprender de los incidentes y la resiliencia para continuar operando a pesar de que un
evento inesperado se materialice, ahora desde la vista de las competencias específicas.

Notas básicas sobre las competencias

Tomando las reflexiones de Tobón (2013, cap.3) se tratará de deconstruir el concepto de

competencias, para buscar algunas pistas sobre la forma como estas influyen en el
desempeño de las personas en el ejercicio de una condición particular tanto a nivel
personal como empresarial.

Las competencias nos hablan en sí mismas de los seres humanos, del talento innato que
tienen y la potencialidad de sus acciones para transformar su entorno. En la medida que
se comprende y entiende la complejidad de las acciones de los individuos, podemos
descubrir sus conductas con el fin de atender la red de significados con las cuales está
conectado para asumirse a sí mismo como ser único, singular e irrepetible, sintonizando
con la pluralidad de su entorno y su relación con otros.

En este sentido, las competencias tienen cinco características claves, que Tobón (2013,
p.99-103) establece como fundamento de las actuaciones de las personas: actuación
integral, resolución de problemas, idoneidad, ética y mejoramiento continuo.

La actuación integral hace referencia, como anota Tobón (2013, p.99) al sentido de reto
y la motivación para alcanzar un objetivo, basado en la confianza en las capacidades y
apoyo social, con una comprensión del contexto, teniendo en perspectiva el problema a
resolver para actuar de acuerdo con un conjunto de estrategias, procedimientos y
técnicas. Esto supone superar la tradición cultural y disciplinar que no le permite ver en
las “márgenes de las hojas” y aumentar su capacidad para entender la complejidad
inherente a su realidad.

En la resolución de problema, Tobón (2013, p.101) establece cuatro acciones a realizar:

 Comprender el problema en un contexto disciplinar, personal, ambiental, social

y /o económico.
 Establecer varias estrategias de solución, en las cuales se tenga en cuenta lo
imprevisto y la incertidumbre.
 Considerar las consecuencias del problema y los efectos de la solución dentro
del conjunto del sistema.
 Aprender del problema para asumir y resolver problemas similares en el futuro.

Enfrentarse a un situación problemática, supone entender con claridad el contexto y sus

interacciones, las relaciones identificadas entre los participantes, así como aquellas
emergentes que actúan sobre las personas y sus significados, las cuales revelan una
interacción mutua, que define un comportamiento propio que es deber del observador
identificar, conocer y analizar.

La idoneidad, que sin caer en precisiones reduccionistas, establece un conjunto de

relaciones entre calidad, empleo de recursos, oportunidad y contexto. Esta característica
busca establecer qué tan competente es una persona para realizar una actividad. Nos
habla de la calidad de sus actuaciones respecto de un referente, la forma como
desarrolla sus acciones, el entendimiento de su realidad circundante y la manera como
cumple y lleva a cabo sus compromisos.

La ética está íntimamente relacionada con las actuaciones de los individuos. Revisa y
evalúa la coherencia de los comportamientos de un individuo frente a los referentes de
la comunidad y sus fundamentos axiológicos básicos. La ética comporta en el individuo
una visión profunda del saber ser y saber convivir, que desarrolla el carácter de la
persona, para reconocer mínimos de convivencia y reconocimiento del otro, para actuar
con una visión de máximos que supere sólo la vista comportamental y trascienda a la
esfera espiritual.

Finalmente el mejoramiento continuo, que no es otra cosa que reconocer, aplicar e

incorporar las lecciones aprendidas, entender desde nuevos enfoques las prácticas
actuales y asegurar que se está desarrollando una práctica real y renovada del hacer,
que nos lleve a niveles más altos de ejecución de las actividades en los individuos.

La lectura de estas características en el perfil del ejecutivo de seguridad de la

información, nos habla de una exigente apuesta personal y profesional, que no solo
demanda un conocimiento disciplinar en su dominio, sino una exigencia transdisciplinar
que cuestiona los referentes actuales de los gerentes de seguridad de la información,
como quiera que su experiencia, capacidad técnica y vista ejecutiva, sólo se puede
alcanzar en un ejercicio de pensamiento complejo (Huerta, Zambrano, Pérez, y Matsui,
2014; Bililies, 2015) que por lo general no es visible en la especificación de sus labores.

Competencias clave para los directores de seguridad de la información

Las competencias de los ejecutivos de seguridad de la información no son ajenas a las

cinco características de las competencias planteadas en la sección anterior. Ellas
demandan una revisión integral de la persona en sí misma y la especificidad de las
funciones a realizar en una organización. En este entendido, no se pretende fundar una
teoría alrededor de las competencias de los responsables de la seguridad de la
información, sino un cuerpo base de relaciones de interdependientes que correlacione
cada una de las competencias planteadas para visualizar los retos propios del ejercicio
de atender la complejidad propia de la inevitabilidad de la falla.

Las competencias planteadas para el oficial de seguridad de la información, siguiendo la

revisión previamente realizada, son:

 Desarrolla pensamiento crítico para analizar y seleccionar los modelos y

prácticas de seguridad de la información, más adecuados, considerando los
objetivos estratégicos del negocio y las expectativas de la alta gerencia.
 Establece y prioriza las amenazas y riesgos de seguridad de la información para
diagnosticar, evaluar y comunicar el nivel de exposición de la empresa, a través
de métodos tradicionales y modernos considerando la dinámica del entorno
actual.
 Monitoriza la promesa de valor del modelo y prácticas de seguridad de la
información para tomar las decisiones oportunas y pertinentes requeridas,
considerando las desviaciones o lecciones aprendidas tanto de los incidentes de
seguridad como de los cambios del entorno.
  Negocia y establece con los ejecutivos corporativos las estrategias de rendición
de cuentas del programa de seguridad de la información para identificar y
seleccionar los escenarios y las métricas más adecuadas considerando las
prácticas y estándares relevantes en la gestión de seguridad de la información.
 Desarrolla una visión estratégica y táctica de la seguridad de la información en
el contexto empresarial, para anticipar y renovar los modelos y prácticas de
seguridad y control considerando los retos corporativos de mediano y largo
plazo, así como los impactos de las amenazas y riesgos emergentes
identificados.

Estas cinco competencias claves son específicas y propias de la realidad de un ejecutivo

de la seguridad de la información, las cuales leen la complejidad del entorno que debe
comprender y superar, con el fin de anticiparse y crear la capacidad de resiliencia
requerida por la empresa para continuar navegando y alcanzando sus retos, a pesar de
los eventos inciertos que debe sortear el modelo de generación de valor de la empresa.

Una competencia específica, establece Tobón (2013, p.119) son propias de una
determinada ocupación, que generalmente tiene asociado un alto grado de
especialización, así como una formación educativa particular, orientada para desarrollar
el trabajo así como en educación superior. Lo anterior supone que los ejecutivos de
seguridad de la información, deben alcanzar altos niveles de maestría en el exigente
ejercicio de desdoblar la complejidad de la inseguridad de la información (Reid, Van
Niekerk y Renaud, 2014), para lo cual deben estar todo el tiempo expuestos a
condiciones inciertas, eventos no planeados y ocasiones de falla, que le exijan una
mente abierta a las posibilidades y al mismo tiempo concreta y convergente que focalice
estrategias de acción que den capacidad de movimiento aún se materialicen sucesos
inesperados.

Formando los nuevos ejecutivos de la seguridad de la información

Las competencias anteriormente especificadas plantean un referente base de la

formación requerida por los responsables de la seguridad de la información. No busca
ser una receta o una elaboración terminada, sino una excusa académica y educativa para
ver aquellos elementos necesarios que se deben formar en los actuales y futuros
ejecutivos de la seguridad de la información.

Articular una propuesta de currículo que permita el desarrollo de las competencias

propuestas en este documento, si bien está fuera del alcance de esta reflexión, si es
pertinente mencionar algunos temas claves que se deben considerar al plantear los
contenido curriculares, como quiera que la acreditación de las competencias de los
directores de seguridad de la información, no estará en el fundamento mismo del saber
hacer, sino en el marco de procesos integrales y sistémicos, donde se tiene la visión de
la parte y del todo, y donde se reconozca al individuo como integrante de la corporación
(Tobón, 2013).

En este entendido, temáticas como planeación por escenarios, resiliencia organizacional,

pensamiento de sistemas, competencia digital y tratamiento de la información, análisis
de casos, analítica de datos, pensamiento crítico y analítico, así como ética y
cumplimiento deberán ser parte de las características de los cursos que se planteen para
este ejecutivo, sin perjuicio de la actualización natural requerida en tendencias
tecnológicas de seguridad informática, así como la lectura permanente de los riesgos
conocidos, latentes, focales y emergentes (Cano, 2014).

Como se puede observar, las características básicas de las competencias como los temas
revisados anteriormente coinciden y refuerzan las conductas y actitudes de los
ejecutivos de la seguridad de la información, habida cuenta que si bien estará siempre
expuesto a un ambiente motivado por el conflicto, en medio de intereses cruzados,
deberán deconstruir dicha realidad para resignificar esa disposición desfavorable de la
seguridad de la información hacia una favorable requerida hacia la información y su
protección, situada en un contexto real y concreto de la organización (Escámez, García,
Pérez y Llopis, 2007).

Así las cosas, la formación de los ejecutivos de seguridad de la información debe

equiparlos para transformar las creencias que sostienen las actitudes de las personas
respecto de la información, para crear creencias conductuales (los atributos que asigna
el individuo a un objeto, en función de los resultados previstos para él) y normativas (lo
que los demás esperan que el individuo haga) (Escámez, García, Pérez y Llopis, 2007)
que penetren la realidad de las personas y manifiesten resultados favorables de sus
conductas, motivando una permanencia de dichas acciones, que no sólo lo benefician,
sino que manifiestan impactos positivos en otros.

Si se pudiese hablar de un perfil de egreso de una persona formada para asumir el reto
de ser el responsable de la seguridad de la información de una empresa, deberíamos
advertir que sus habilidades y competencias estarán a prueba todo el tiempo para
controvertir las lecciones de la inseguridad de la información, comprender el efecto
recursivo y estructural que resulta en el ejercicio para descubrir la inseguridad (Reid,
Van Niekerk y Renaud, 2014), o mejor de leer el tejido social empresarial que resulta de
la mixtura de intereses, significados y retos corporativos, cuyas huellas (Andreu, 2014)
se encuentran inmersas en cada una de las personas que hacen parte de la organización.

Reflexiones finales

Anota Morgan (1998, p.331) que las imágenes y metáforas no son solamente
circunstancias interpretativas o formas de ver, sino que proporcionan marcos de trabajo
para acción, esto es que en la medida que la capacidad de lectura de la realidad por parte
del ejecutivo de seguridad de la información aumente y tenga una variedad lo
suficientemente amplia, podrá comenzar a imaginar y observar el fenómeno de la
inseguridad de la información más allá del sentido mecánico y operacional que le ofrece
la realidad tecnológica y técnica de la infraestructura de seguridad informática.

Lo anterior supone desarrollar al menos las cinco competencias claves enunciadas, para
que pueda hacer una lectura diferente del entorno cada vez y así interpretar las tensiones
emergentes del ejercicio de la práctica de seguridad de la información, que exige un
cambio sostenido de las actitudes de las personas respecto de la protección de la
información y crear el entorno que asegure y asista, que los nuevos comportamientos
incorporados tengan la trascendencia requerida en las diferentes audiencias y así
permanezca a lo largo del tiempo.
 En consecuencia, la formación del ejecutivo de la seguridad de la información, a parte
de las características naturales que debe tener como son (IBM, 2013) desarrollador de
relaciones efectivas, constructor de confianza, ser reconocido como autoridad temática
en la empresa así como comunicador excelente, requiere incorporar una base de
pensamiento complejo que le permita sentar los pilares para repensar su práctica, y así
forjar conceptos y métodos inexistentes y que no se asocian con una perspectiva o
disciplina particular.

Si bien las competencias son, de acuerdo con Bacarat y Graziano (Bustamante et al,
2004, p.69), un conjunto de propiedades inestables que deben someterse a prueba, las
propias de los encargados de la seguridad de la información requieren mantenerse en
tensión permanente para procurar una mente flexible y estratégica de estos encargados,
habida cuenta de que su práctica no está fundada en certezas o claridades, sino en
incertidumbre, imprevistos e incidentes que deben fortalecer su capacidad de
proyección, análisis y reflexión sobre el entorno y sus impactos para la organización.

En consecuencia, sobrevivir como líder de seguridad de la información en la actualidad,

implica aceptar con humildad la materialización de una falla y los señalamientos que
esto trae, para que fortaleciendo su resiliencia personal, aumente su variedad para
observar, revelar y comprender la inestabilidad de su entorno. Esto es, entender las
fuerzas que lo atraviesan, advirtiendo la realidad como una red de relaciones que se
reconstruye así misma y que evoluciona según cambian los significados y lecturas de la
práctica de seguridad de la información desde las creencias personales y las realidades
corporativas.

Referencias
Andreu, R. (2014) Huellas. Construyendo valor desde la empresa. Barcelona, España: Ed.
Dau.
Bililies, T. (2015) How to be a great leader in a complex world. Recuperado de:
https://agenda.weforum.org/2015/01/great-leader-in-complex-world/
Bustamante, G., De Zubiría, S., Bacarat, M., Graziano, N., Marín, L., Gómez, J. y Serrano, E.
(2004) El concepto de competencia II. Una mirada interdisciplinar. Bogotá, Colombia:
Alejandría Libros.
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la
incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la
Información. Alicante, España. Septiembre 2 al 5. Recuperado de:
http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-
estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes.
Teoría y práctica. Colección Educación en Valores. Madrid, España: Octaedro OEI.
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la
enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias
de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
IBM (2013) Characteristics of highly effective security leaders. Recuperado de:
http://www.ibm.com/ibmcai/ciso
Morgan, G. (1998) Imágenes de la organización. Santafe de Bogota, Colombia: Alfaomega.
Ponemon (2014) Informe mundial 2014 sobre el costo del crimen cibernético. Patrocinado por
HP Enterprise Security. Recuperado de: http://www8.hp.com/co/es/software-
solutions/ponemon-cyber-security-report/
Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA.
Recuperado de:
http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20Secur
ity%20Research%20Report.pdf
Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A General living
systems theory perspective. Information Security for South Africa (ISSA) 13-14 August.
1-8.

Tobón, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo,

didáctica y evaluación. Cuarta edición. Bogotá, Colombia: Ecoe Ediciones.
Publicado por ITInsecurity en 9:19
Enviar por correo electrónicoEscribe un blogCompartir con TwitterCompartir con
FacebookCompartir en Pinterest