Documentos de Académico
Documentos de Profesional
Documentos de Cultura
es/2015/02/anotaciones-sobre-las-
competencias-de.html
Introducción
Los reportes internacionales sobre fallas de seguridad de la información, el creciente
incremento del fraude por medios electrónicos y la temeridad de los usuarios respecto
del uso de internet, establece un escenario retador para cualquier gerente o responsable
de la seguridad de la información de una empresa, como quiera que estará siempre
inmerso en la tensión de los que quieren apertura total de acceso y los que persiguen
restricciones generales sobre la información (Ponemon, 2014).
Si bien el reto que le impone un escenario incierto, complejo y asimétrico, con eventos
inesperados en cualquier momento, no lo debe atemorizar, si lo debe poner en alerta
para renovar su estrategia de seguridad y control, toda vez que las tecnologías de
seguridad informática por sí solas no le van a proveer la confianza requerida por la alta
gerencia, que hoy se ve amenazada por eventos que no logra comprender, pero que
reconoce puede afectar su posición privilegiada y responsabilidad frente a sus grupos de
interés (Rai, 2014).
En este sentido, este documento plantea algunas competencias claves de los gerentes de
seguridad de la información, como punto de partida para fundamentar la formación de
estos ejecutivos empresariales, los cuales no tienen otra opción que sumergirse fuera de
las aguas técnicas y de procedimiento, para adquirir nuevas capacidades que le permitan
preparar a la organización para asumir el reto de la inevitabilidad de la falla, el costo de
aprender de los incidentes y la resiliencia para continuar operando a pesar de que un
evento inesperado se materialice, ahora desde la vista de las competencias específicas.
Las competencias nos hablan en sí mismas de los seres humanos, del talento innato que
tienen y la potencialidad de sus acciones para transformar su entorno. En la medida que
se comprende y entiende la complejidad de las acciones de los individuos, podemos
descubrir sus conductas con el fin de atender la red de significados con las cuales está
conectado para asumirse a sí mismo como ser único, singular e irrepetible, sintonizando
con la pluralidad de su entorno y su relación con otros.
En este sentido, las competencias tienen cinco características claves, que Tobón (2013,
p.99-103) establece como fundamento de las actuaciones de las personas: actuación
integral, resolución de problemas, idoneidad, ética y mejoramiento continuo.
La actuación integral hace referencia, como anota Tobón (2013, p.99) al sentido de reto
y la motivación para alcanzar un objetivo, basado en la confianza en las capacidades y
apoyo social, con una comprensión del contexto, teniendo en perspectiva el problema a
resolver para actuar de acuerdo con un conjunto de estrategias, procedimientos y
técnicas. Esto supone superar la tradición cultural y disciplinar que no le permite ver en
las “márgenes de las hojas” y aumentar su capacidad para entender la complejidad
inherente a su realidad.
La ética está íntimamente relacionada con las actuaciones de los individuos. Revisa y
evalúa la coherencia de los comportamientos de un individuo frente a los referentes de
la comunidad y sus fundamentos axiológicos básicos. La ética comporta en el individuo
una visión profunda del saber ser y saber convivir, que desarrolla el carácter de la
persona, para reconocer mínimos de convivencia y reconocimiento del otro, para actuar
con una visión de máximos que supere sólo la vista comportamental y trascienda a la
esfera espiritual.
Una competencia específica, establece Tobón (2013, p.119) son propias de una
determinada ocupación, que generalmente tiene asociado un alto grado de
especialización, así como una formación educativa particular, orientada para desarrollar
el trabajo así como en educación superior. Lo anterior supone que los ejecutivos de
seguridad de la información, deben alcanzar altos niveles de maestría en el exigente
ejercicio de desdoblar la complejidad de la inseguridad de la información (Reid, Van
Niekerk y Renaud, 2014), para lo cual deben estar todo el tiempo expuestos a
condiciones inciertas, eventos no planeados y ocasiones de falla, que le exijan una
mente abierta a las posibilidades y al mismo tiempo concreta y convergente que focalice
estrategias de acción que den capacidad de movimiento aún se materialicen sucesos
inesperados.
Como se puede observar, las características básicas de las competencias como los temas
revisados anteriormente coinciden y refuerzan las conductas y actitudes de los
ejecutivos de la seguridad de la información, habida cuenta que si bien estará siempre
expuesto a un ambiente motivado por el conflicto, en medio de intereses cruzados,
deberán deconstruir dicha realidad para resignificar esa disposición desfavorable de la
seguridad de la información hacia una favorable requerida hacia la información y su
protección, situada en un contexto real y concreto de la organización (Escámez, García,
Pérez y Llopis, 2007).
Si se pudiese hablar de un perfil de egreso de una persona formada para asumir el reto
de ser el responsable de la seguridad de la información de una empresa, deberíamos
advertir que sus habilidades y competencias estarán a prueba todo el tiempo para
controvertir las lecciones de la inseguridad de la información, comprender el efecto
recursivo y estructural que resulta en el ejercicio para descubrir la inseguridad (Reid,
Van Niekerk y Renaud, 2014), o mejor de leer el tejido social empresarial que resulta de
la mixtura de intereses, significados y retos corporativos, cuyas huellas (Andreu, 2014)
se encuentran inmersas en cada una de las personas que hacen parte de la organización.
Reflexiones finales
Anota Morgan (1998, p.331) que las imágenes y metáforas no son solamente
circunstancias interpretativas o formas de ver, sino que proporcionan marcos de trabajo
para acción, esto es que en la medida que la capacidad de lectura de la realidad por parte
del ejecutivo de seguridad de la información aumente y tenga una variedad lo
suficientemente amplia, podrá comenzar a imaginar y observar el fenómeno de la
inseguridad de la información más allá del sentido mecánico y operacional que le ofrece
la realidad tecnológica y técnica de la infraestructura de seguridad informática.
Lo anterior supone desarrollar al menos las cinco competencias claves enunciadas, para
que pueda hacer una lectura diferente del entorno cada vez y así interpretar las tensiones
emergentes del ejercicio de la práctica de seguridad de la información, que exige un
cambio sostenido de las actitudes de las personas respecto de la protección de la
información y crear el entorno que asegure y asista, que los nuevos comportamientos
incorporados tengan la trascendencia requerida en las diferentes audiencias y así
permanezca a lo largo del tiempo.
En consecuencia, la formación del ejecutivo de la seguridad de la información, a parte
de las características naturales que debe tener como son (IBM, 2013) desarrollador de
relaciones efectivas, constructor de confianza, ser reconocido como autoridad temática
en la empresa así como comunicador excelente, requiere incorporar una base de
pensamiento complejo que le permita sentar los pilares para repensar su práctica, y así
forjar conceptos y métodos inexistentes y que no se asocian con una perspectiva o
disciplina particular.
Si bien las competencias son, de acuerdo con Bacarat y Graziano (Bustamante et al,
2004, p.69), un conjunto de propiedades inestables que deben someterse a prueba, las
propias de los encargados de la seguridad de la información requieren mantenerse en
tensión permanente para procurar una mente flexible y estratégica de estos encargados,
habida cuenta de que su práctica no está fundada en certezas o claridades, sino en
incertidumbre, imprevistos e incidentes que deben fortalecer su capacidad de
proyección, análisis y reflexión sobre el entorno y sus impactos para la organización.
Referencias
Andreu, R. (2014) Huellas. Construyendo valor desde la empresa. Barcelona, España: Ed.
Dau.
Bililies, T. (2015) How to be a great leader in a complex world. Recuperado de:
https://agenda.weforum.org/2015/01/great-leader-in-complex-world/
Bustamante, G., De Zubiría, S., Bacarat, M., Graziano, N., Marín, L., Gómez, J. y Serrano, E.
(2004) El concepto de competencia II. Una mirada interdisciplinar. Bogotá, Colombia:
Alejandría Libros.
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la
incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la
Información. Alicante, España. Septiembre 2 al 5. Recuperado de:
http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-
estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Escámez, J., García, R., Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes.
Teoría y práctica. Colección Educación en Valores. Madrid, España: Octaedro OEI.
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la
enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias
de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
IBM (2013) Characteristics of highly effective security leaders. Recuperado de:
http://www.ibm.com/ibmcai/ciso
Morgan, G. (1998) Imágenes de la organización. Santafe de Bogota, Colombia: Alfaomega.
Ponemon (2014) Informe mundial 2014 sobre el costo del crimen cibernético. Patrocinado por
HP Enterprise Security. Recuperado de: http://www8.hp.com/co/es/software-
solutions/ponemon-cyber-security-report/
Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA.
Recuperado de:
http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20Secur
ity%20Research%20Report.pdf
Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A General living
systems theory perspective. Information Security for South Africa (ISSA) 13-14 August.
1-8.