Pues eso, “cuando un tonto coge un camino, el camino se acaba y el tonto sigue”. En este caso el tonto soy yo. La linde es la necesidad de tener en cuenta las características socio/culturales de una organización para el desarrollo de sus modelos de gestión y marcos normativos de seguridad. (Pedazo de frase pedante que me he marcado, verdad?…)

Hace unos días, mi compañero Daniel Santos (no he pedido permiso a Dani para nombrarle ni citarle, espero que no le moleste) hizo una exposición magnífica sobre los proyectos que nuestro equipo desarrolla con pena y gloria a partes iguales.

Cuando habló de aquellos proyectos relacionados con el cumplimiento normativo (el compliance que diría un señor consultor) usó una cita de la película “Gladiator”.

Marco Aurelio y Máximo Décimo conversan: “¿Y qué es Roma Máximo?” “He visto parte del resto del mundo, es brutal, cruel y oscuro, Roma es la luz”.

Dani venía a decirnos que las normas son un instrumento útil para organizarnos y que sin ellas el caos hace nuestra existencia muuuuy complicada e incómoda.  Y esto, aplícalo al código civil, al código penal, al de circulación o a las políticas de seguridad.

Como digo, en el caso de las normas o políticas de seguridad es lo mismo, son muy útiles especialmente en situaciones que nos resultan ambiguas. Para un usuario con conocimientos limitados de la tecnología, la elección de guardar sus documentos en el servidor de ficheros o en local en su portátil es completamente ambigua. Con sus conocimientos no puede evaluar los pros y contras de cada una de las dos formas de proceder y las dos le parecen conductas válidas. Si en este caso existe una norma clara que le diga que toda documentación corporativa va al servidor de ficheros y la documentación personal se queda en su carpeta de documentos locales, la situación se des-ambigua de forma inmediata.

Sin embargo…. al igual que ocurre con las metodologías de gestión de seguridad  (ver la entrada de VIC Information Security Management Mediterranean Mode), en el desarrollo de políticas de seguridad cometemos el mismo error y desarrollamos normas como si nuestros usuarios fueran luteranos alemanes o individualistas norteamericanos. Ni las políticas ni la forma de hacerlas cumplir puede ser la misma aquí que en Londres.

A continuación voy a citaros un par de fragmentos de sendos post del blog politikon, que nada tienen que ver con la gestión de la seguridad de la información, pero sí con las diferencias culturales y la aceptación y cumplimiento de normas.

El primero sobre los alemanes Esa cultura que es Alemania II, cito traduciendo:

“La afición alemana por el orden, sobre la que a menudo se hacen bromas, ha demostrado ser cierta, dijo Carlos Baixeras, de 30 años. Un ingeniero que comenzó a trabajar cerca de Frankfurt hace 18 meses. “Hay reglas para todo”, dijo. “Hay una política de uso de la papelera.”

Y otro de nuestros amigos centroeuropeos Esa cultura que es Alemania III, cito y traduzco:

“Según el diario alemán Der Spiegel, la policía alemana disparó únicamente 85 balas en todo 2011… la mayoría de estos disparos ni siquiera fueron dirigidos a personas: “49 disparos de advertencia, 36 disparos a sospechosos. 15 personas fueron heridas, 6 resultaron muertas.”

Y ahora para comparar, una de nuestros cercanos (culturalmente hablando) primos griegos, Esa cultura que es grecia, cito y aviso que es un poco largo pero merece la pena:

“Resulta que el gobierno griego, en un momento de inspiración, decidió que era hora que la gente empezara a pagar un impuesto sobre propiedades para tapar el enorme agujero fiscal del país. Es un impuesto decente, bastante progresivo; los que tienen una casa más grande cobran más, etcétera. Como el sistema de recaudación griego es una verbena, el ministro de turno decidió que el impuesto se cobraría junto con el recibo de la luz. Todo el mundo necesita electricidad, al fin y al cabo; nadie va a quedarse a oscuras con tal de evadir dinero a hacienda.

Bueno, esto es Grecia. Primero, los sindicatos protestaron, montando un pollo tremendo, organizando desobediencia civil y llevando el tributo a juicio. La gente, lisa y llanamente, prefirió dejar de pagar el recibo de la luz antes que (horror) pagar un miserable duro al gobierno. La compañía eléctrica (pública, como todo en ese país), que ya iba justa de dinero, tuvo que ser rescatada de mala manera por el gobierno ante la barbaridad de gente que sencillamente dejó de pagar por el suministro completamente. Para acabarlo de arreglar, un tribunal decretó que cortar la luz a alguien por no pagar un impuesto es ilegal, así que el gobierno ha acabado no viendo un duro del nuevo tributo y encima gastándose una millonada para cubrir las pérdidas.

La cosa, sin embargo, no se queda aquí. La eléctrica ha decidido que esto de aplicar la ley no va con ella, así que este año ni va a intentar cobrar el impuesto. El gobierno griego, como ni está ni se le espera, no ha dicho nada, así que tenemos un impuesto (otro más) que está en los libros pero que todo el mundo va a ignorar olímpicamente”

Creo que sobra que os haga la analogía con la normalización de seguridad.

¿Qué modelo de desarrollo normativo creo que puede funcionar en nuestro entorno? Os lo cuento en mi próximo post…

druida

Llevo un rato dándole vueltas al título del post, barajaba unos cuantos:

  • El responsable de seguridad y tú.
  • Tu primer responsable de seguridad.
  • Responsables de seguridad al borde de un ataque de nervios.
  • Ser responsable de seguridad y no morir en el intento.
  • ….

Bueno, el título es lo de menos… la cuestión es que hace unos meses la Junta de Andalucía publicó su Política de Seguridad. Podéis ver el Decreto en el BOJA. Y en el artículo 11 hablan del “Responsable de Seguridad“, os copio un cachito del texto:

Artículo 11. Responsable de seguridad TIC.

1. En cada una de las entidades incluidas en el ámbito de aplicación del presente Decreto deberá existir una persona, garantizando el principio de función diferenciada recogido en el artículo 5.j), que ejerza las funciones de responsable de seguridad TIC de la entidad, debiendo ser nombrada por el Comité de Seguridad TIC de la misma.

Pues bueno, imagino que las entidades de nuestra administración autonómica andarán preocupadas dándole vueltas al tema. Ya sabes como somos por estas tierras, que sale una norma y todos nos apresuramos a cumplirla como si nos fuera la vida en ello :P.

Y la verdad, elegir un responsable de seguridad no es tarea sencilla, al menos si se quiere hacer las cosas bien y no simplemente salir del paso.

Pero me temo que la aproximación al problema no será la ideal (al menos desde mi humilde punto de vista). Creo que lo usual será pensar en puestos y no en personas. Esto es debido a que por desgracia, en los tiempos que nos ha tocado vivir, no se valora al ser humano. Lo importante es el cacharrito, la metodología, el sistema de gestión y el procedimiento.  El profesional es lo de menos…

Así que insisto… me temo que lo habitual será que aquel que tenga la difícil tarea de elegir un responsable de seguridad pensará inconscientemente y de forma natural en puestos y no en personas cualificadas.

Pensará si es mejor que el responsable de seguridad sea el responsable de sistema, el jefe de servicio de informática, el encargado de explotación, el de calidad, el director, el secretario general, el chófer o el conserje.

Después se topará con el maldito dilema de la función diferenciada, con el hecho de que los puestos sobre el papel no se corresponden siempre con las responsabilidades sobre el terreno y con que la vida es finita, su tiempo sobre la tierra se acaba y debe tomar una decisión antes de ser pasto de los gusanos…

¿Y qué haría yo?… primero comprender la función del responsable de seguridad, ¿qué tiene que ser capaz de hacer?. Después tratar de conocer la organización ¿de que alternativas dispongo? Y por último probar, probar y probar… porque si algo he aprendido en mis 29 años de tránsito por la vida es que pocas cosas funcionan a la primera… y esta no va a ser una excepción..

Cada organización es un mundo, y el que diga que se puede estandarizar la gestión… pues un mojón pa’el, pa’la ISO, pa’itil y pa’l consultor que los parió… así que tampoco hay una solución estándar para elegir responsables de seguridad. Pero sí creo que hay ciertas cualidades que marcarán el éxito de la aventura:

  • El Responsable debe tener experiencia: no en seguridad sino en la vida. Para solucionar problemas complejos y difusos es útil haberse enfrentado a otros problemas antes, aunque sean problemas completamente distintos.
  • El Responsable debe tener don de gentes: deberá motivar la toma de decisiones, deberá también motivar al resto de la organización a cambiar de hábitos y a trabajar por la seguridad común. Esto no lo consigue alguien sin carisma.
  • El Responsable debe conocer la organización: es necesario conocer el entorno, a las personas y los procedimientos no escritos por los que se mueve la organización. Para esto es muy importante pararse a mirar, a escuchar y aprender de todos.
  • El Responsable debe ser creativo: los problemas de seguridad no tienen solución conocida a priori, en cada caso es necesario analizar el problema (las causas raíz, no los síntomas) y buscar la mejor solución. Para esto hace falta echarle imaginación al asunto.
  • El Responsable debe ser paciente: Zamora no se tomó en una hora y el trabajo en seguridad no acaba nunca. Una organización no es una foto, es una película…. y asegurar algo en movimiento continuo exige estar siempre en movimiento continuo. Debe tener tiempo, la prisa mata y lo que es peor cuesta dinero… es crucial parar y pensar y volver a parar a pensar.
  • El Responsable debe ser crítico: escéptico con lo que le cuenten los demás y con sus propias soluciones. En el mundo de la seguridad hay demasiados dogmas y no todos aplican en todas las circunstancias.
  • El Responsable debe sentir pasión por su misión: ser responsable de seguridad es difícil y frustrante en muchas ocasiones. Es un trabajo solitario y desagradecido. Si la persona encargada no disfruta con este trabajo lo hará mal o no lo hará y lo que es peor… pasará un mal rato. Pero para quién disfrute con ello será un continuo reto, un juego intelectual que no tiene versión para PS3 o XBox…

El tiempo dirá si ese párrafo del Decreto de la Junta sirvió de algo para mejorar tan singular organización…

 

Hoy se ha publicado en el BOJA la política de seguridad de la Junta de Andalucía. La verdad es que leer textos legales (aunque sean de seguridad) es un rollo, así que he pensado en echar un vistazo general usando Wordle.

Wordle de la política de seguridad de la Junta de Andalucía

Wordle de la política de seguridad de la Junta de Andalucía

Mucho mejor así, ¿eh? Lo tenéis aquí por si queréis verlo en Java, aunque no parece que se pueda editar.

Para contentar a @lmmarcos y a @esanz adjunto otro con sólo minúsculas y con colores menos corporativos (bueno… un poco sí).

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Por otro lado, podéis jugar con el data set de la política en manyeyes.

He creado este ‘árbol de palabras’ que viene muy bien para analizar el texto. Por ejemplo, escribiendo ‘ley’ en el recuadro podéis ver todas las leyes a las que hace referencia el texto.

Probad con ‘seguridad’ (start y end) para verle el gustillo al tema este. O con ‘principio’ para ver el listado de principios que enumera la política.

Por cierto, ¿qué os parecen este tipo de visualizaciones? ¿ Útiles? ¿Chulas? ¿Inútiles?

El otro día vi estos mensajes en la puerta de una iglesia que llamaron mi atención.

Aléjate del mal y haz el bien

Me resultó muy curioso cómo habían logrado sintetizar en estas dos frases una política de actuación para los feligreses.

Me pregunto si sería posible conseguir este nivel de síntesis respecto a seguridad de la información. Vamos a intentarlo:

Aléjate de los riesgos y evalúa bien. No te olvides de aprender.

Hmmm, no sé, no me convence mucho. A ver otra vez:

Aléjate de las malas ideas y gestiona bien. No te olvides de pensar.

Bueno, está visto que necesito ayuda. ¿Alguien se anima?