¿Cuantas veces hemos oído, o dicho, eso de «la seguridad no es un producto, es un proceso»?. Muchas. Y no digo que no lo sea …, pero el término «proceso» siempre me ha parecido consultoril, complejo y alejado de la realidad.

Pienso que cuando con cara circunspecta decimos a un cliente: «¡es necesario diseñar e implantar un proceso de gestión del cambio!» …, en lugar de ayudarlo, le animamos a salir huyendo y no querer saber nada de nosotros.

Normal, no somos robots, ni alemanes.

Entiendo que los consultores se ganen la vida creando y optimizando mapas de procesos, pero los que estamos en las trincheras debemos ser pragmáticos y capaces de lograr la implantación de buenas prácticas de manera sencilla y comprensible para todos.

Ya lo dijeron los técnicos del Programa Apollo: «Keep It Simple, Stupid», y llegaron a la luna …

Según un reciente estudio publicado por el National Institute for Women in Trades, Technology and Science de California, entre una amplia muestra de mujeres de entre 20 y 40 años, los técnicos en seguridad de la información son el grupo profesional que mayor atracción despierta entre el colectivo femenino estadounidense.

De hecho, es algo que pudimos comprobar en el último Sec&Beer en el que tuve el gusto de participar.

 

 

Cuando fui contratado como responsable de seguridad por la empresa Chiringuitel, filial andaluza del Grupo Maletinsa, era un hombre feliz.

Dediqué mis primeras semanas a conocer qué había hecho el grupo de seguridad durante los ultimos años. Como era de esperar, el escaso presupuesto se había destinado a mantener un lustroso sello que certificaba haber inundado de burocracia la ya de por si ineficiente gestión de la seguridad.

El principal resultado de tan ambicioso proyecto había sido generar una reacción alérgica de los miembros del departamento de informática ante todo aquello que sonase a seguridad.

Ante tal panorama, tomé la decisión de reconducir los esfuerzos del equipo hacia una mejora real de la seguridad, a través del cambio de hábitos dentro de la compañía.

Cambiamos nuestro discurso, nuestro modelo y rápidamente comencé a mantener encuentros con el resto de departamentos, animado por la idea de conocer y mejorar la seguridad de los procesos internos de la organización.

Esta novedosa forma de trabajar dió pronto sus frutos: me granjeé el recelo, cuando no el rechazo, de todos aquellos departamentos cuyas formas y maneras pretendía cambiar.

Una vez constatado el fracaso inicial, decidí orientar nuevamente nuestro trabajo hacia la concienciación en seguridad del personal. La idea era clara, crear cultura de seguridad.

Usé vídeos virales, cartelería impactante, me paseé vestido de hombre anuncio …, y del «entrometido» pasé a ser conocido por «el loco» de seguridad, extremo éste que no tardó en llegar a oídos de la dirección.

Finalmente, tras meses de decepciones, Chiringuitel rescindió mi contrato, comencé a beber y ahora habito en unos húmedos cartones bajo el puente de Triana …

En este insondable mundo de la seguridad, frecuentemente usamos el término perímetro para referirnos a las fronteras que separan nuestra organización del «peligroso» mundo exterior. Por suerte, muchos somos ya conscientes de que suponen un mayor riesgo los empleados descontentos  o desinformados que los cinematográficos hackers.

Esas fronteras que marcan el perímetro de seguridad pueden ser tangibles, como el cable que nos conecta a internet o la puerta de entrada del edificio donde trabajamos, o intangibles, como las redes WiFi cuya cobertura no se restringe a los límites físicos de la organización.

Históricamente, este perímetro ha sido protegido interponiendo cortafuegos o seguratas que nos piden el DNI. También hemos mejorado la seguridad del acceso inalámbrico configurando WPA 802.1x en nuestras redes.

Sin embargo, todo el esfuerzo que invertimos en interponer barreras de seguridad se desvanece cuando gentilmente permitimos a personas y equipos ajenos a nuestra organización franquear el perímetro y conectarse a la red local.

Ejemplos no faltan:

– Empleados que conectan a la red local equipos personales o el portátil corporativo «que tienen en casa».

– Comerciales que, conectando su portátil a la toma de red, usan el acceso a internet de la organización para mostrarnos las virtudes de su producto.

– El pen-drive que nos regalaron en el último sarao tecnológico-festivo al que asistimos.

– Puntos de información en la vía pública, cuyo latiguillo se conecta a una toma de red perfectamente visible y alcanzable.

– Tomas de red en salas de espera, pidiendo que cualquiera conecte su portátil y eche una ojeada a la red.

Pienso que si no tomamos en consideración los riesgos asociados a este tipo de accesos tolerados y ponemos soluciones, nuestra organización acabará teniendo mas agujeros de seguridad que un queso gruyere.

 

¿Es posible vender un trabajo de calidad en seguridad de la información y ser competitivo a la vez?.

Yo no tengo la respuesta, lo único que se es lo que cada día veo en este rincón del planeta:

1. Presentaciones comerciales repletas de humo o miedo. ¡¡Que vienen los chinos!!.

2. «Consultores» mileuristas vendidos a precio de senior.

3. Comerciales intentando convencerte para que compres cacharros que solucionan tus problemas con solo pulsar un botón.

¿Estará la respuesta en la teoría del Dr. Murray Joshe «Catharsis by destruction»?.

En un interesante documental sobre la neurociencia aplicada al marketing, explicaban cómo las decisiones de compra tienen, en su mayor parte, un origen emocional. Estas emociones se crean, según los científicos, en la parte más primitiva de nuestro cerebro, el llamado «cerebro reptil».

Estas ideas me hicieron pensar en cómo transmitimos a la dirección las propuestas en materia de seguridad y en los mecanismos que llevan a un directivo a aceptar acometer un proyecto, invertir en recursos especializados o simplemente tomar una decisión relevante.

Al fin y al cabo, cuando nos reunimos con la dirección y hacemos una propuesta estamos intentando «vender» nuestro producto. De cómo lo hagamos dependerá una gran parte nuestro trabajo diario.

Si damos por bueno lo anterior y decidimos adentrarnos en el terreno de las emociones, el primer problema con el que nos encontramos es … ¡¡que somos telecos!! … y como tales, el tema emocional no se nos da muy bien.

¿Qué hacer entonces?, no lo sé, porque a estas alturas no nos vamos a matricular en primero de psicología …

Por mi parte, intentaré dedicar más tiempo a pensar qué sensaciones, qué emociones, debo transmitir para conseguir «vender» aquello que mejore la seguridad de mi organización.

Como dijo aquel sevillano universal, somos hijos de una estirpe de rudos caminantes. No se si será por nuestros orígenes, pero lo cierto es que somos un pueblo desorganizado, tan reacio al cambio como a seguir las normas establecidas y en el que cada uno hace de su pequeño ámbito de responsabilidad una fortaleza inexpugnable.

Siendo como somos, ¿son válidos en nuestras organizaciones los modelos y metodologías desarrolladas por y para anglosajones?, me temo que no …

Nuestra cultura, nuestra forma de pensar y de comportarnos es distinta – por suerte -, y seguiremos equivocándonos si intentamos que nuestros clientes o usuarios se comporten como finlandeses, cuando han nacido en Sanlúcar la Mayor …

Retomando la propuesta de olyoly de crear los principios made in SevillaSec&Beer, urge la difícil – ¿imposible? – tarea de desarrollar la Information Security Management Mediterranean Mode.

Este es un término que habitualmente encontramos en artículos y normas norteamericanas. Si cogemos el diccionario, veremos que significa «programa integral de seguridad». Yo, sin embargo, prefiero traducirlo por «programa comprensible de seguridad».

¿Por qué?, porque si algo caracteriza a los que trabajamos en seguridad es que los demás -nuestros compañeros, la dirección- no comprenden lo que hacemos, y lo que es peor, por qué lo hacemos.

Pero, ¿realmente nos esforzamos en que nuestra función sea comprendida?.

Creo que demasiadas veces hablamos en un lenguaje que nuestros interlocutores no comprenden. Incluso he visto a muchos que disfrutan de que así sea:

- hola jefe, ¿sabes que ayer me volvió a llegar otro sms de smishing al móvil corporativo?, malditos spammers.
– ¿comoooooooor?

Pienso que tenemos la obligación de hablar, explicar y comunicarnos en un lenguaje sencillo y fácil de entender. Es una cuestión de supervivencia, en estos tiempos, ¿qué organización va a gastar dinero y dedicar esfuerzo a algo que no comprende?…