Última actualización: 8 de Agosto 2004

RESUMEN BIOGRÁFICO DE VINCENT VAN GOGH
En seguridad informática hay que hacer y saber vender

II) REFLEXIÓN INICIAL

Volviendo a los ejemplos, no me agrada para nada la figura del segundo personaje, pero posee una gran virtud, la cual si se conjuga con el "saber", da resultados excelentes y ciertos, pues ahora no se está mintiendo, sino que se está dando a conocer de buena fe, algo que se sabe y se es consciente que está bien hecho. Por favor no me mal interpreten, pues repito, no digo vender mal ni tratar de vender cosas que no están bien hechas, pero sí digo, que si hacemos las cosas bien y no las vendemos, nos morimos ignorados por el resto del mundo, a pesar de ser tan genios como Van Gogh, cosa que reconozcamos, es un crimen histórico.

El tema no es fácil para nada, pues ¿Qué se puede vender de seguridad?, existen pocas armas para este desafío, pero se debe tratar de encontrarlas sino, es muy poco probable que se puede justificar una inversión adecuada año tras año.

La empresa Ernest & Young realiza año a año una encuesta de seguridad a gerencias de más de 1500 firmas en el mundo. Lo que más me llamó la atención dentro de todos los aspectos que destaca de la realizada en 2003 es que: " El ROI (Retorno de la inversión), no está valorado como medida de efectividad de los gastos de seguridad". Esta expresión es clarísima, no puede ser de otra manera, pues ningún director ve, que lo que gasta, le está siendo reintegrado de alguna forma. Este creo que fue el aspecto que más me llevó a pensar que es una obligación de la Gerencia de Seguridad "El saber vender", tan obligación como cualquier otra medida técnica que se adopte, pues sino año a año tendrá menos recursos para los detalles técnicos hasta que, por falta de apoyo, no pueda "hacer" bien las cosas, pues no vendió. En definitiva, sino mostró resultados, imaginando las mil formas de justificar este ROI, morirá como Van Gogh.

El caso más concreto son los matafuegos de una empresa , año a año se gasta mucho dinero en ellos, pero ahí están, sin hacer nada. Aunque a veces se escuchan casos de incendios muy "sospechosos", no suele ser una buena medida, generarlos para justificar su uso. Estoy casi seguro, que si no existieran las leyes que lo hacen obligatorio, desaparecerían poco a poco de la gran mayoría de sus sitios, o por lo menos la inversión de mantenimiento se reduciría substancialmente. Bueno, este es un buen punto de partida, pues recordemos que ya existen leyes que nos apoyan (LSSI, LOPD, etc). PRIMER PASO: sacar provecho de lo que nos ofrece la ley y mostrar resultados.

Se debe plantear dentro de la política de seguridad, muy detalladamente todo lo relacionado a esta legislación, declarar los ficheros correspondientes, y REALIZAR AUDITORÍAS, tanto internas (y si es por personal ajeno a la gerencia mejor: abogados, contadores, administrativos) como externas, que permitan evaluar realmente (sin vender motos), el nivel alcanzado en estos aspectos, pudiendo generar informes y acciones de mejora. Estos dos últimos documentos (Informes y acciones de mejora), permiten:

• Planificar acciones y etapas (hitos).
• Presentar resultados periódicos y de avance.
• Justificar el empleo de los recursos.

Otra analogía que siempre encuentro en este tema, está nuevamente relacionada (como en otros artículos), con aspectos militares.

En casi toda unidad militar de combate, existe un "polvorín", en este se almacena toda la munición que el elemento necesitaría en caso de conflicto. Como podemos imaginar, en la inmensa mayoría de los casos, este no se emplea (gracias a Dios), pero está ahí, y desde luego ninguno de sus jefes o comandantes, duda que debe estar ahí y cuanto más tenga mejor. Resulta evidente pensar que toda esa cadena jerárquica está preparándose para el supuesto de un conflicto, y por lo tanto conoce del tema. Bueno este es otro aspecto a considerar: Nuestros directivos, también saben de conflictos, desafíos, competencia entre empresas (casi guerras crueles) y análisis de riesgo à SEGUNDO PASO: Preparar pautas muy claras de estos riesgos, es decir análisis de riesgos concretos, valorar la información que se tiene, preparar "casos" sobre el impacto que causa en una organización los virus, troyanos, intrusos, negación de servicio, etc. Preparar exposiciones, invitar disertantes, redactar resúmenes gerenciales de hechos de seguridad ocurridos mensualmente. En concreto, mantener viva la consciencia de seguridad a nivel Directorio.

Pero el tema del polvorín no queda aquí. El encargado de todo polvorín, debe ser una persona que conozca en detalle los recursos que tiene, pues la munición tiene un tiempo de vida, superado el cual, no puede ser utilizada y debe ser descartada (o retornada a la fábrica para reciclarla o aprovechar lo que quede útil). Mes a mes el stock envejece, y si no se lleva un control estricto y se está todos los días re acomodando y actualizando su información, se desperdicia. Es aquí donde se puede valorar un encargado bueno de uno malo, pues el bueno, es el que está permanentemente sabiendo del tema, y unos meses antes que la munición venza, la pasa al rubro "instrucción" y la misma se emplea para realizar ejercicios y prácticas, con lo cual, todos los usuarios de la organización están contentos, pues ven los resultados de ese trabajo y pueden aprender y perfeccionarse. Por supuesto el mal administrador, por error o por desconocimiento del tema, deja pasar estas fechas, debiendo desperdiciar literalmente la munición, con el daño directo que esto trae aparejado y también con el resquemor que genera el ver que se desperdicia un bien tan valioso para el resto. Pero ojo, que esto último sucede más a menudo de lo que se pueden imaginar.

¿No encuentran una enorme semejanza con el "polvorín" que tenemos en seguridad? Si hacemos bien el trabajo, nos actualizamos y llevamos el control de la seguridad de la empresa, nuestros usuarios lo notan. Ellos saben que les filtramos bien los spam, que no existen virus en la empresa, que los backup de sus datos están siempre, independientemente que ellos cometan errores, que el sistema no se cae, que en otros lados pasan cosas que aquí no, que cuando tienen dudas encuentran respuestas, etc. No olvidemos que todo director, es un usuario más, por lo tanto, si hacemos bien el trabajo, este también lo verá y notará que si bien tiene un recurso almacenado, su "munición" no se desperdicia. Aquí no entra en juego el vende moto, sino el Van Gogh que hace las cosas bien, pero que expone sus cuadros. Bueno, aquí tenemos nuestro TERCER PASO: Mostrar resultados concretos a los usuarios y esmerarnos en que se noten, con artículos, mails, novedades, recordatorios, etc.

<<Anterior Siguiente >>

Alejandro C. Corletti Estrada
acorletti@hotmail.com