En muchas ocasiones, grandes ideas y proyectos en torno a la seguridad de la información quedan lejos de ser una realidad en las organizaciones debido a que no se involucra a la dirección en estas iniciativas, más allá de solicitudes de recursos económicos u otros requerimientos afines. El presente artículo presenta algunas situaciones reales de cómo NO se debe ofrecer la seguridad de la información a la dirección; y qué buscar en estas áreas administrativas al trabajar dentro de una organización.
En organizaciones donde la razón de ser del negocio no es la tecnología, no se cuenta con normas referentes a la seguridad de la información o simplemente no existe una obligación frente a este importante aspecto, aquellos quienes han tenido la experiencia de ofrecer planes, proyectos o iniciativas sobre seguridad de la información son conscientes de cuán complicado puede ser el vender esta idea a la alta dirección. Vale la pena indicar que a diferencia de lo que ocurre con las áreas de tecnología, en la seguridad de la información no existe formalmente un retorno de inversión, es por ello que es visto por la dirección o aquellas áreas que toman las decisiones de invertir, más como un gasto que como una oportunidad.
Con base en lo anterior, se requiere de experiencia, claridad en las explicaciones y propuestas; e incluso de llegar a contar con aliados estratégicos dentro de las organizaciones, para presentar estas iniciativas a la dirección y contar con su apoyo y compromiso. Aquí realizo una distinción: usualmente encontramos que se habla de apoyo en virtud de soporte, impulso a las ideas e iniciativas. Por otro lado, acuño el término compromiso con base en qué tanto se involucran, aportan y gestionan los recursos e insumos necesarios para la realización de los proyectos planteados. Esto último resulta una tarea compleja, pero no imposible y su consecución puede llegar a ser la causa de éxito del proyecto o iniciativa a desarrollar.
Fallos, fallos y más fallos
A continuación, se abordan algunos errores que se comenten regularmente al ofrecer los proyectos o iniciativas de seguridad de la información a la dirección:
Ausencia de claridad en la propuesta:
Si las soluciones, proyectos o ideas a presentar no son concretas o lo suficientemente claras para quienes toman decisiones, difícilmente serán tomados en cuenta. Recurrir a la simplicidad y explicar con ejemplos puede ser una excelente estrategia.
Lenguaje extremadamente técnico
Uno de los talones de Aquiles de quienes trabajamos con tecnología es explicar temas haciendo uso en exceso de un lenguaje especializado plagado de expresiones complejas o tecnicismos de difícil comprensión para aquellas personas que no se involucran directamente en las tareas. Esto puede significar perder la atención de la audiencia y echar abajo las posibilidades de contar con el interés y respaldo de la dirección.
No siempre funciona el terrorismo
Partiendo de la premisa de que la seguridad de la información suele ser vista como un gasto más que una inversión, es común acudir a técnicas de sugestión y terror empleando situaciones adversas de otras organizaciones para inspirar miedo y generar una sensación de inseguridad en la audiencia. Es importante comprender que ninguna organización funciona con la misma lógica, por lo que no siempre es posible hablar en términos de pérdidas económicas o multas, también deben abordarse otro tipo de impactos tales como la reputación e imagen, el impacto legal y otros aspectos, todo esto sin llegar a ejemplos extremos o terrorismo.
Propuestas no alineadas con el negocio
Es común que en una organización surjan ideas que pueden resultar descabelladas, pero que realmente aportan a favor del negocio, esto ocurre porque directa o indirectamente se encuentran enfocadas al logro de objetivos y cumplimiento de la misión. Sin embargo, el mayor fracaso de una idea desde que es concebida, radica en que pueda encontrarse en contravía con lo que desea la organización, ya que no aportará valor y puede generar una inversión innecesaria reduciendo el capital de inversión para otros proyectos.
Costos de soluciones imposibles
La teoría de gestión de riesgos establece que, en caso de que el mecanismo a través del cual se controla o reduce el impacto de un riesgo cuente con un valor más elevado que el mismo activo, no es viable aplicar dicho control. Lo anterior puede aplicarse para otras situaciones tales como solicitar inversión para tecnologías o soluciones a nivel de seguridad de la información que son más costosas que la misma infraestructura, o cuya utilidad como control o protección es mínimo con respecto al costo. Es necesario buscar soluciones viables organizacionalmente, económicamente y que aporten al negocio.
No ofrecer utopías: la seguridad total no existe
Es una realidad que no existe la seguridad total, nada puede llegar a un 100% de seguridad. Ofrecer esta idea o fundamentar una solución o proyecto en esta mentira puede ser negativo para la imagen del área o personal de seguridad, en caso de que acontezca un incidente que evidencie que la protección total no existe. Siempre existirá un riesgo residual, un porcentaje de amenaza con el que la organización debe convivir, no se puede ignorar la presencia del mismo.
Presentaciones interminables
La capacidad para presentar una idea en el tiempo adecuado, recurriendo a la síntesis y simplicidad, es una de las mayores cualidades que se deben potenciar al trabajar con temas de seguridad. Es muy probable que no exista tiempo para atender estos temas y cuando lo hay es demasiado corto, así que hay que fortalecer la capacidad de presentar rápidamente los problemas y las soluciones para lograr contar con la atención de aquellos que toman decisiones dentro de la organización. No hay que morir ante el desagradable: “Tiene 5 minutos para su presentación”.
¿Qué buscar en la gerencia?
Una vez analizados los casos que plantean posibles fracasos, es importante recalcar que no es fácil dejar de lado esos fallos que tantas veces han hecho ir en lastre nuestros proyectos. Sin embargo, es necesario e imperativo conseguir el apoyo y compromiso de la dirección durante todos los proyectos y actividades, pues es la dirección la que puede solicitar el cumplimiento de las políticas o la colaboración en los mismos, así como es la que aportará los recursos humanos, económicos, logísticos, entre otros, que se requieren para hacer realidad proyectos de seguridad de la información, y también es quien puede aplicar los correctivos y sanciones cuando la seguridad de la información no es tomada con la debida seriedad en la organización.
Como se puede evidenciar, hay mucho por mejorar y realizar para llegar a ese público tan complicado como lo es la dirección, gerencia, administración o al área equivalente en donde se toman las decisiones en una organización.
Otras recomendaciones
Así como existe el ROI (retorno de inversión) como una medida para identificar la ganancia obtenida en virtud del capital invertido y es una de las maneras de cómo las áreas de tecnología suelen sustentar sus requerimientos y compras, la seguridad de la información cuenta con una métrica similar denominada ROSI (retorno de la inversión en seguridad), con el cual es posible referenciar las pérdidas que podría tener la organización contra los costos de los controles (tecnológicos, de recursos humanos, etc). Al igual que el ROI, el éxito del ROSI radica en justificar y demostrar que la inversión a realizar no es mayor al valor del activo y de la pérdida, ya que no tiene sentido aplicar controles más costosos que el activo a proteger.
Para más información acerca del ROI, se recomienda leer un artículo realizado por el consultor Dejan Kosutic[1] acerca del tema, también es conveniente conocer la calculadora ROSI[2][3], para computar los valores asociados a inversión en seguridad de la información.
[2] http://www.iso27001standard.com/en/rosi/return-on-security-investment
[3] http://services.nsw.gov.au/sites/default/files/backup_migrate/manual/ROSI%20Calculator%201.2.xls
