Envejecido

Llevo un tiempo hojeando un libro llamado «De Bárbaros a Burócratas» de Lawrence M. Miller. El pollo este, que tiene pinta de tomar el té con el dedo meñique bien estirado, presenta un modelo de organizaciones muy simplista pero curioso. Todo gira en torno al ciclo vital de las empresas, que clasifica en 7 estadios… bueno, que me enrollo… el libro no es para que le den el Nobel, pero tiene anécdotas curiosas sobre empresas o personajes históricos y alguna que otra idea interesante.

Os copio una cita del librito que me ha hecho volver a darle vueltas a algunas cosas que después os cuento:

«Las organizaciones envejecidas y burocratizadas han perdido tanto la flexibilidad como la disciplina. A medida que la organización se vuelve rígida, y pierde su capacidad para reaccionar, sus componenetes van descubriendo cada vez más formas de burlar los sistemas formales.»

Pues nada, creo que está claro… yo tengo la sensación de trabajar en una organización envejecida y cada día vivo lo que en el párrafo se expone. Es más, yo también busco a diario vías para burlar los sistemas formales y alcanzar los objetivos que me han fijado. Así que, no puedo estar más de acuerdo, las organizaciones envejecidas y burocratizadas no funcionarían (ni bien ni mal) si sus componentes no burlasen (haciendo arriesgados equilibrios funambulistas) los sistemas formales. Entendiendo como sistemas formales: normativas, políticas, procedimientos, jerarquías, competencias de otras personas o grupos…

Está claro que una organización así está jodida y los que trabajan en ella deberían ir buscando otra salida profesional (a no ser que se estén forrando o les vaya la marcha)… pero no es esto de lo que quería hablaros, sino de las implicaciones de todo el rollo anterior en la gestión de la seguridad.

Estoy cansado de leer y escuchar en ISOs, ENS, artículos, superconsultoresenchaquetados hablar o vender la necesidad de elaborar políticas y procedimientos de seguridad (yo también lo hago, el que esté libre de pecado que tire la primera piedra).

Pero, ¿qué hacemos en una organización de este tipo? ¿Perdemos el tiempo en inventar procedimientos y normas? ¿Qué efectividad tendrá desarrollar una política que nadie va a cumplir o unos procedimientos que nadie va a seguir? ¿Cómo de eficaces serán el comité de seguridad y todos los responsables que se nos ocurran si, al final todo el mundo en la organización se salta la jerarquía y hace de su capa un sayo?

No olvidemos que, además de todo lo anterior, por estas latitudes somos mediterráneos, para lo bueno (creatividad, optimismo, pasión) y para lo malo (poco apego a las reglas, al orden matemático, a la uniformidad, a la disciplina, etc.).

Siguiendo los estándares, corremos el riesgo de acabar asegurando (suponiendo que lo conseguimos) una organización ficticia y no la organización real.

Creo que cometemos el error de no asumir la realidad, de no aceptar que la organización es como es. Yo propondría no invertir demasiado esfuerzo, tiempo, dinero e ilusión en normalizar y procedimentar ferreamente. Hay que hacer políticas y procedimentos sí, pero pocos, sencillos y flexibles y dedicar más esfuerzos a atacar el factor humano: concienciar y formar a las personas.

Y vosotros, ¿qué pensais? ¿qué soluciones proponéis?

ENISE

Este año INTECO y la Junta de Andalucía me han dado la oportunidad de participar como ponente en ENISE, y tengo que agradecérselo pues la experiencia ha sido de lo más interesante. Por desgracia y porque el tiempo no nos sobra solo he podido quedarme un día. Os cuento mis impresiones…

Dejando a un lado el escenario incomparable, la ciudad de León, el parador de San Marcos donde nos alojaron y se desarrollaron la mayoría de los talleres, la comida, la fantástica organización, lo agradable que es la gente por allí, etc… la sensación que he tenido es como si me hubiera despertado de repente en un manicomio.

Allí cada loco va con su tema y los demás hacen como que lo que cuenta es completamente coherente… uno va y dice que es Napoleón y los demás asienten y le llaman Monsieur… y luego otro va y dice que ellos tienen una maquina para viajar en el tiempo y los demás viéndolo como algo normal asienten y le felicitan… todo son palmaditas en la espalda y el mundo es de color de rosa…

Y entre todos los locos que se pasean por el patio yo con cara de tonto, me empiezo a plantear si seré yo el que está zumbado… porque si no no lo entiendo… ¿y qué hago? ¿me hago también el loco y digo ser Julio César…? porque claro… si a Napoleón le dices que su caballo es de cartón piedra y se te ocurre decir que lo de la máquina del tiempo es ciencia ficción y de la mala… lo mismo te echan del manicomio a patadas en el culo… que en los manicomios no quieren gente cuerda…

Pero entonces… en las pausas de café o de la comida, te acercas a un grupo y escuchas algún comentario y ves destellos de lucidez en los ojos de alguno de los que se pasean por allí que te hacen notar que no eres el único que está flipando con lo que escucha… que hay más Demians y Sinclairs por ahí sueltos con sus marcas de Caín sobre la frente… pero que también se hacen los locos para poder estar en el manicomio…

Cada vez tengo más claro que las administraciones no saben lo que necesitan en cuanto a seguridad y por el otro lado que las empresas de seguridad que les ofrecen sus servicios no saben cuales son los problemas reales de las administraciones y mucho menos cuales son las soluciones realistas a sus problemas de seguridad. Seguro que es culpa de todos y de ninguno, no digo que no, pero las cosas están así… y unos por otros la casa sin barrer….

Por otro lado, estoy ya saciado de «casos de éxito»…. ya he escuchado todos los que necesitaba… lo que necesito ahora son «casos de fracaso»… dicen que se aprende más de los errores que de los aciertos…

No estaría mal organizar un evento en el que los ponentes nos contaran sus errores y así no repetirlos los demás. Podríamos llamarlo Encuentro Internacional de Fracasos en Seguridad de la Información….

Ya lo estoy viendo, sube el pollo al estrado pone su presentación llena de letras y cuadros de mando y zas… nos cuenta sus miserias… para después abandonar la sala balbuceando… «aún estáis a tiempo, no hagáis lo que yo hice…»

La idea que más me ha gustado de todas las que he escuchado en el evento, la lanzó un ponente que venía de tierras lejanas… un europeo nada más y nada menos…  y dijo algo así como que estudiemos el problema, que la mayoría de las veces buscamos la solución antes de comprender el problema… y creo que lleva mucha razón.

Y sin duda lo mejor de todo, las conversaciones con viejos y nuevos conocidos, el intercambio de experiencias, frustraciones y expectativas… una experiencia para repetir.

El pasado jueves 30 de Septiembre asistí como «espectador» a un seminario sobre el nuevo esquema nacional de seguridad organizado por una revista tecnológica.

El seminario resultó ser un baño de lágrimas y terapia de grupo para todos los asistentes que, salvo contadas  excepciones, declaraban no haber hecho mucho (¿nada?)  respecto a las obligaciones que plantea el esquema.

Destacó la gran asistencia al evento por parte de ministerios, consejerías, ayuntamientos y universidades:

  • ¿reflejo del interés por la materia?
  • ¿respuesta al compromiso con la revista y con los provedores ponentes?
  • …¿?

La asistencia se mantuvo casi íntegra hasta la finalización del evento y lo cierto es que el moderador de la mesa realizó su trabajo con gran mérito y extrajó con simpatía y experiencia toda la información que podían aportar los ponentes y asistentes . Con preguntas del tipo «y vosotros ¿qué estais haciendo respecto al ENS?» y «¿Quién tiene dudas del Esquema? ¿Nadie?  Entonces, ¿quién no tiene presupuesto?» consiguió hilar de forma amena cada ponencia con la experiencia y opiniones de los asistentes.

Algunos aspectos interesantes que se comentaron en la jornada fueron los siguientes:

  • Ante la demanda por parte de los asistentes de un reglamento adicional que desarrolle (¿más aún?) las medidas de seguridad. A este respecto desde la Dirección General para el Impulso de la Administración Electrónica se indicó que no habrá más textos legales y que el apoyo para la adecuación al esquema lo proporcionarán las guías de implantación publicadas por el CCN.

  • El anuncio por parte del CCN de la publicación en la parte pública de las guías que hasta la fecha permanecian en la parte de acceso restringido (803 y 804, creo recordar).
  • Ante la pregunta de un asistente de cuándo se deben utilizar los resultados de un análisis de riesgos la respuesta del CCN fue después de la implantación de las medidas. Sorprende la respuesta porque en la guía 806- Plan de adecuación se expresa la necesidad de realizar el análisis de riesgos. En mi opinión tratar esto en detalle da para un extenso post o al menos para unos cuantos comentarios.
  • Ante la ponencia de un proveedor que enmarcaba de forma conjunta el cumplimiento el ENS y el de la certificación de un SGSI en la norma ISO/IEC 27001, el representante de la Dirección General para el Impulso de la Administración Electrónica expresó sus diferencias respecto a esta comparación. Diferenció el ENS de la normativa internacional al destacar de la primera principalmente su carácter  obligatorio, su vínculo a la administración pública y no a la empresa privada y la existencia de  medidas proporcionales a las competencias y canales utilizados por los organismos públicos.
  • La publicidad de que el CeSICAT dispone de guías complementarias a las proporcionadas por el CCN en las que se proporcionan modelos de adecuación al esquema para distintos tipos de organismos públicos a modo de tarhjes a medida (cabe decir que no he tenido tiempo de corroborarlo).

A pesar de que el seminario estuvo bien llevado y ofreció incluso más de lo que pueden dar este tipo de eventos hubo también momentos patéticos como los siguientes:

  • Uno de los proveedores ponentes afirmó no tener ninguna duda sobre el esquema ante la ya citada pregunta del moderador. Más prudente fue el representante de la Dirección General para el Impulso de la Administración Electrónica que expreso la necesidad de dar vida a la adecuación al esquema para ir resolviendo las dudas en función de las particularidades de cada organismo.
  • Un asistente preguntó cómo podía descargarse la herramienta Pilar porque le daba fallo desde la página del CCN. Yo tengo un conocido que le hubiera dicho sin pensárselo ni dos segundos ‘Preguntame cuando hayas buscado en google‘.
  • Un ponente informó que la fecha límite para la disponibilidad del Plan de Adecuación es el 30 de enero de 2011. Quizá por eso el título del seminario era ‘El nuevo esquema nacional de seguridad’ para diferenciarlo del antiguo en el que el plazo era el 29 de enero de 2011.
  • Y bajo mi punto de vista, la inclusión de ponencias de proveedores sobraban. No incitaron ninguna pregunta a los asistentes y el tono de los mismos sonaba a pescadero del mercado: ¡Fresco, señora, lo llevo fresco! ¡El mejor del mercado! ¡Compre señora, que me lo quitan de las manos!’

Siguiendo con los sucesos del seminario destaca también la mención de frases como la de ‘ La Administración electrónica será segura o será’, siendo el corolario de la misma ‘…y esto lo dijo alguien a quien después cesaron de su cargo’ y la de ‘En Andalucía los servicios de seguridad que ofrece la Junta están aún por debajo de los ofrecidos por la administración catalana’ (hmm.. ¿a cuestas con la deuda histórica?).

En definitiva, un seminario más que aporta una experiencia positiva en cuanto a la información que los asistentes reciben (tanto de lo bueno como de lo malo se aprende) pero que deja una sensación de vacío en cuanto a la relación entre la teoría y la práctica.

Considero que los seminarios, cursos, jornadas, etc.  son herramientas que no tienen una plena efectividad si bien no los debemos menospreciar en cuanto a su capacidad concienciadora. Eso sí, los ponentes deben procurar tener siempre algo que contar y no ir a vender pescado porque sino el público puede cansarse de ver siempre el mismo espectáculo.

Todo está lleno de hijos de puta.

¿Son inútiles y sus decisiones son guiadas por la ineptitud y la falta de profesionalidad? o ¿son muy listos y se guían por intereses personales llenándose los bolsillos a nuestra costa? Tengo el estómago revuelto…

Sentí que quería poner una bala entre los ojos a cada panda que no follara para salvar la especie. Quería abrir las válvulas de vaciado de los petroleros y arrasar todas las playas francesas que nunca vería. Quería respirar humo. Deseaba destruir algo bello.

El club de la Lucha.

Pero no perdamos la esperanza… ya pasarán sus caracoles por mi rancho….