Pues eso, “cuando un tonto coge un camino, el camino se acaba y el tonto sigue”. En este caso el tonto soy yo. La linde es la necesidad de tener en cuenta las características socio/culturales de una organización para el desarrollo de sus modelos de gestión y marcos normativos de seguridad. (Pedazo de frase pedante que me he marcado, verdad?…)

Hace unos días, mi compañero Daniel Santos (no he pedido permiso a Dani para nombrarle ni citarle, espero que no le moleste) hizo una exposición magnífica sobre los proyectos que nuestro equipo desarrolla con pena y gloria a partes iguales.

Cuando habló de aquellos proyectos relacionados con el cumplimiento normativo (el compliance que diría un señor consultor) usó una cita de la película “Gladiator”.

Marco Aurelio y Máximo Décimo conversan: “¿Y qué es Roma Máximo?” “He visto parte del resto del mundo, es brutal, cruel y oscuro, Roma es la luz”.

Dani venía a decirnos que las normas son un instrumento útil para organizarnos y que sin ellas el caos hace nuestra existencia muuuuy complicada e incómoda.  Y esto, aplícalo al código civil, al código penal, al de circulación o a las políticas de seguridad.

Como digo, en el caso de las normas o políticas de seguridad es lo mismo, son muy útiles especialmente en situaciones que nos resultan ambiguas. Para un usuario con conocimientos limitados de la tecnología, la elección de guardar sus documentos en el servidor de ficheros o en local en su portátil es completamente ambigua. Con sus conocimientos no puede evaluar los pros y contras de cada una de las dos formas de proceder y las dos le parecen conductas válidas. Si en este caso existe una norma clara que le diga que toda documentación corporativa va al servidor de ficheros y la documentación personal se queda en su carpeta de documentos locales, la situación se des-ambigua de forma inmediata.

Sin embargo…. al igual que ocurre con las metodologías de gestión de seguridad  (ver la entrada de VIC Information Security Management Mediterranean Mode), en el desarrollo de políticas de seguridad cometemos el mismo error y desarrollamos normas como si nuestros usuarios fueran luteranos alemanes o individualistas norteamericanos. Ni las políticas ni la forma de hacerlas cumplir puede ser la misma aquí que en Londres.

A continuación voy a citaros un par de fragmentos de sendos post del blog politikon, que nada tienen que ver con la gestión de la seguridad de la información, pero sí con las diferencias culturales y la aceptación y cumplimiento de normas.

El primero sobre los alemanes Esa cultura que es Alemania II, cito traduciendo:

“La afición alemana por el orden, sobre la que a menudo se hacen bromas, ha demostrado ser cierta, dijo Carlos Baixeras, de 30 años. Un ingeniero que comenzó a trabajar cerca de Frankfurt hace 18 meses. “Hay reglas para todo”, dijo. “Hay una política de uso de la papelera.”

Y otro de nuestros amigos centroeuropeos Esa cultura que es Alemania III, cito y traduzco:

“Según el diario alemán Der Spiegel, la policía alemana disparó únicamente 85 balas en todo 2011… la mayoría de estos disparos ni siquiera fueron dirigidos a personas: “49 disparos de advertencia, 36 disparos a sospechosos. 15 personas fueron heridas, 6 resultaron muertas.”

Y ahora para comparar, una de nuestros cercanos (culturalmente hablando) primos griegos, Esa cultura que es grecia, cito y aviso que es un poco largo pero merece la pena:

“Resulta que el gobierno griego, en un momento de inspiración, decidió que era hora que la gente empezara a pagar un impuesto sobre propiedades para tapar el enorme agujero fiscal del país. Es un impuesto decente, bastante progresivo; los que tienen una casa más grande cobran más, etcétera. Como el sistema de recaudación griego es una verbena, el ministro de turno decidió que el impuesto se cobraría junto con el recibo de la luz. Todo el mundo necesita electricidad, al fin y al cabo; nadie va a quedarse a oscuras con tal de evadir dinero a hacienda.

Bueno, esto es Grecia. Primero, los sindicatos protestaron, montando un pollo tremendo, organizando desobediencia civil y llevando el tributo a juicio. La gente, lisa y llanamente, prefirió dejar de pagar el recibo de la luz antes que (horror) pagar un miserable duro al gobierno. La compañía eléctrica (pública, como todo en ese país), que ya iba justa de dinero, tuvo que ser rescatada de mala manera por el gobierno ante la barbaridad de gente que sencillamente dejó de pagar por el suministro completamente. Para acabarlo de arreglar, un tribunal decretó que cortar la luz a alguien por no pagar un impuesto es ilegal, así que el gobierno ha acabado no viendo un duro del nuevo tributo y encima gastándose una millonada para cubrir las pérdidas.

La cosa, sin embargo, no se queda aquí. La eléctrica ha decidido que esto de aplicar la ley no va con ella, así que este año ni va a intentar cobrar el impuesto. El gobierno griego, como ni está ni se le espera, no ha dicho nada, así que tenemos un impuesto (otro más) que está en los libros pero que todo el mundo va a ignorar olímpicamente”

Creo que sobra que os haga la analogía con la normalización de seguridad.

¿Qué modelo de desarrollo normativo creo que puede funcionar en nuestro entorno? Os lo cuento en mi próximo post…

El otro día leí en un tweet que la mayor parte de los ‘especialistas en seguridad’ eran, en realidad, ‘especialistas en in-seguridad’. Son capaces de encontrar fallos pero no de encontrar mejoras estratégicas.

No puedo estar más de acuerdo. Y quiero elaborar un poco más sobre el tema para que nos dé pié a discutirlo en el próximo Sec&Beer que es ya mismo.

Está claro que destruir es siempre más fácil que construir y que criticar siempre es más sencillo que promover el cambio. Sin embargo, ambos conceptos no están tan desentrañados de su contrapartida. Dicho esta críptica frase, yo considero que una fase esencial para establecer estrategias de mejora es conocer, criticar, destruir la situación actual.

Esto es importante no sólo para que nosotros mismos nos demos cuenta de si es o no peligrosa o crítica o insegura o como queráis denominar a la situación actual sino también para demostrarlo a los que tiene capacidad para apoyarnos en la implantación de mejoras.

Sin embargo, es muy cómodo quedarse en señalar con el dedo acusador a la vez que haces ver lo evidente que es y lo mal que está todo. De esta forma, tú, como especialista en (in-)seguridad siempre tendrás trabajo y, bueno, sabiendo como está todo, no vas a tener problemas.

Mejorar las cosas es mucho más complejo porque entran en juego un conjunto de condiciones de contorno que, en muchos casos, son las mismas que han provocado la lamentable situación actual.

En definitiva, porque no me quiero extender más, es interesante realizar esfuerzos para analizar y descubrir problemas de seguridad pero quizá sea mucho más importante organizar y ejecutar estrategias de mejora que hagan posible que estas situaciones no se repitan como la cebolla, el chorizo picante o el eterno retorno.

¿Qué pensáis? Ponedlo aquí o ya lo discutimos el jueves.

Envejecido

Llevo un tiempo hojeando un libro llamado “De Bárbaros a Burócratas” de Lawrence M. Miller. El pollo este, que tiene pinta de tomar el té con el dedo meñique bien estirado, presenta un modelo de organizaciones muy simplista pero curioso. Todo gira en torno al ciclo vital de las empresas, que clasifica en 7 estadios… bueno, que me enrollo… el libro no es para que le den el Nobel, pero tiene anécdotas curiosas sobre empresas o personajes históricos y alguna que otra idea interesante.

Os copio una cita del librito que me ha hecho volver a darle vueltas a algunas cosas que después os cuento:

“Las organizaciones envejecidas y burocratizadas han perdido tanto la flexibilidad como la disciplina. A medida que la organización se vuelve rígida, y pierde su capacidad para reaccionar, sus componenetes van descubriendo cada vez más formas de burlar los sistemas formales.”

Pues nada, creo que está claro… yo tengo la sensación de trabajar en una organización envejecida y cada día vivo lo que en el párrafo se expone. Es más, yo también busco a diario vías para burlar los sistemas formales y alcanzar los objetivos que me han fijado. Así que, no puedo estar más de acuerdo, las organizaciones envejecidas y burocratizadas no funcionarían (ni bien ni mal) si sus componentes no burlasen (haciendo arriesgados equilibrios funambulistas) los sistemas formales. Entendiendo como sistemas formales: normativas, políticas, procedimientos, jerarquías, competencias de otras personas o grupos…

Está claro que una organización así está jodida y los que trabajan en ella deberían ir buscando otra salida profesional (a no ser que se estén forrando o les vaya la marcha)… pero no es esto de lo que quería hablaros, sino de las implicaciones de todo el rollo anterior en la gestión de la seguridad.

Estoy cansado de leer y escuchar en ISOs, ENS, artículos, superconsultoresenchaquetados hablar o vender la necesidad de elaborar políticas y procedimientos de seguridad (yo también lo hago, el que esté libre de pecado que tire la primera piedra).

Pero, ¿qué hacemos en una organización de este tipo? ¿Perdemos el tiempo en inventar procedimientos y normas? ¿Qué efectividad tendrá desarrollar una política que nadie va a cumplir o unos procedimientos que nadie va a seguir? ¿Cómo de eficaces serán el comité de seguridad y todos los responsables que se nos ocurran si, al final todo el mundo en la organización se salta la jerarquía y hace de su capa un sayo?

No olvidemos que, además de todo lo anterior, por estas latitudes somos mediterráneos, para lo bueno (creatividad, optimismo, pasión) y para lo malo (poco apego a las reglas, al orden matemático, a la uniformidad, a la disciplina, etc.).

Siguiendo los estándares, corremos el riesgo de acabar asegurando (suponiendo que lo conseguimos) una organización ficticia y no la organización real.

Creo que cometemos el error de no asumir la realidad, de no aceptar que la organización es como es. Yo propondría no invertir demasiado esfuerzo, tiempo, dinero e ilusión en normalizar y procedimentar ferreamente. Hay que hacer políticas y procedimentos sí, pero pocos, sencillos y flexibles y dedicar más esfuerzos a atacar el factor humano: concienciar y formar a las personas.

Y vosotros, ¿qué pensais? ¿qué soluciones proponéis?