Por Mariano Del Río
En este artículo se comparten distintas reflexiones relacionadas con las iniciativas de seguridad que se llevan a cabo en algunas empresas y que producto de cómo se las encara terminan sin éxito o con dificultades ajenas a la iniciativa que las llevan al fracaso. Lo que se intenta clarificar a través de las distintas reflexiones, es si realmente cuando se intentan impulsar estas iniciativas se lo está haciendo a través de las personas o áreas correspondientes. O si por el contrario equivocar el interlocutor termina siendo el factor principal del fracaso.
¿Desde dónde debería impulsarse un proyecto de seguridad de la información? Podríamos pensar rápidamente que teniendo en cuenta lo que está en juego, el “dueño” de la Compañía debería ser el principal interesado, ¿no? La realidad indica que en muchos casos (por no decir todos) la iniciativa se inicia desde áreas de tecnología, es decir, se inicia como si ello fuera un tema de índole técnico. Pero, si es IT el que impulsa el proyecto o sale a buscar el presupuesto para “eso técnico” que mejoraría la seguridad, ¿no es muy probable que fracase?
Otras veces es el área de seguridad, la que por requerimientos de auditoría o porque “vino una regulación”, toma el tema pero sin darse cuenta que depende de IT (generalmente es así) y que mucho de lo que debe cambiar está directamente relacionado con IT y para ello requiere el “sponsoreo” de quién debería generar el requerimiento (aún sin tener una regulación que lo exija).
Estos son algunos casos, pero el origen de la inquietud surge en si estos proyectos fracasan en realidad porque no cuentan con el apoyo de quién debería ser el principal interesado. ¿Por qué el dueño, directorio, CEO, de una Organización no estaría interesado por estos temas? Creo que deberíamos buscar el motivo en la educación y la conciencia, y no relacionado a la ausencia de formación profesional, sino a la ausencia de conceptos y conocimientos relacionados con la seguridad de la información. Ahora bien, ¿por qué debería tenerlos? El “negocio” hace años que viene funcionando bien y nunca fue necesario tener presente estos temas, ¿Seguridad? ¿Para qué? “Si no somos un banco…” Son algunas de las respuestas que se obtienen al comenzar a tratar temas relacionados con seguridad en aquellas Organizaciones que no tienen una cultura asociada al control interno y temas asociados.
Volviendo un poco a lo anterior, sea cual fuere el área que impulse estos temas, el desafío no debería estar relacionado con convencer a IT o “al de sistemas” el desafío debería estar en que el “dueño” entienda que hoy en día no puede no contemplar aspectos de seguridad para llevar a cabo SU negocio. No son válidos los argumentos de que “hace 25 años que se viene trabajando así”, el mundo cambio, la tecnología avanzó y hoy forma parte de los principales servicios y usos de la vida cotidiana, los riesgos cambiaron, las amenazas y las personas ¿entonces por qué no debería cambiar la Organización? ¿Acaso no sería un factor positivo el hecho de que una Organización se adapte a los cambios para seguir llevando a cabo su negocio?
Desde la posición de quienes buscan avanzar en estos temas en la Organizaciones, ¿no se estarán equivocando de interlocutores? ¿No sería mejor buscar el sponsoreo “desde arriba” demostrando la necesidad con un leguaje de negocios, entendible para aquel que debe aceptar la iniciativa y sobre todo otorgar el dinero asociado? ¿No se está perdiendo tiempo discutiendo con IT sobre si debemos instalar o no un IDS/IPS o si debe utilizar tal o cual cuenta de usuario para trabajar? Si el requerimiento surge del dueño, CEO o Director, ¿se presentará la misma resistencia?
Los que tratamos temas de seguridad, ¿no nos auto limitamos entendiendo que son temas que debemos hablar con el CIO y no con el máximo responsable de la Organización?
Desde el punto de vista del riesgo, aquel que siempre se lo utiliza para justificar todo lo que se realiza o se solicita en materia de seguridad, ¿Quién es el único que verdaderamente puede responder por “el riesgo”? Es IT? ¿Es seguridad? No, es el CEO, es el “negocio”, entonces, desde este punto de vista y teniendo presente que seguridad no es el negocio, sino que debe aportar valor para que éste se desarrolle dentro del nivel de riesgo aceptable, queda claro que con quién debemos hablar es con el máximo responsable de gestionar el riesgo.
Así parece sencillo, pero no es fácil que del día a la noche alguien que no requirió seguridad para llevar a cabo una actividad comercial, lo requiera. Como impulsores se pueden tomar las regulaciones, dado que cada día se hace más necesario ser y demostrar ser seguros en las operaciones de negocio, en el cuidado de los datos personales, en el respeto por la privacidad de los clientes, por lo tanto es un punto que se puede llevar a la mesa del CEO para que se genere conciencia. En definitiva todo se reduce a tomar conciencia de que se requiere incorporar procesos de seguridad para “ser seguros” y poder demostrar que las actividades se realizan dentro de un marco de control, con transparencia y confiabilidad. En relación a la comunicación de estos aspectos, el desafío para los responsables de la seguridad se podría encontrar asociado a las técnicas que se deberían desarrollar para generar el interés, es en este punto donde se debería invertir tiempo, pensar y buscar la mejor forma de que cuando se tengan esos 10 minutos para “hablar de seguridad” se pueda generar el impacto que genere la conciencia de quién debe primero creer en el responsable de seguridad y luego impulsar las iniciativas. En este aspecto, es muy probable que se genere interés si se demuestra que los temas de seguridad incorporan valor al negocio y pueden convertirse en un aspecto que diferencie a la Organización, de su competencia.
Llevado a la óptica del cliente, la decisión final sobre tomar un producto o servicio en una u otra Organización se termina basando en la confianza que cada una de ellas genere al cliente. Y hoy esa confianza es muy difícil de generar sin tener presente aspectos claves de seguridad, no sólo técnicos sino estratégicos como Organización.
Por último si ya se pudo identificar quién es el principal responsable de gestionar el riesgo e impulsar los temas relacionados con la seguridad, así como todos los referidos al negocio, ¿seguiremos invirtiendo tiempo intentando convencer a la persona equivocada?
Fuente: Secure Tech
Write a comment:
Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.
