Uno de los mitos mas populares que se cuecen en los pasillos de decenas de conferencias de seguridad en todo latino america, es que las cosas serian mejor si fueran los altos ejecutivos de nuestras organizaciones, quienes tomaran la iniciativa de seguridad y no el personal operativo o tecnico. Aunque le parezca extranio, esta clase de planteamientos ideales son los que muchas veces terminan por nulificar el exito de aquellas propuestas de mejora que miles de jefes de TI presentan a sus gerencias en temas de seguridad. Permitanos explicarle: Como punto inicial, debemos reconocer que este tipo de mitos traen consigo algo de verdad ¿donde ubicamos dicha verdad?
Extraida con algo de pinzas quirurjicas, podemos decir que si existen dos formas de gestionar los programas de seguridad informatica en nuestras empresas, siendo una de ellas la que plantea el mito. El primer modelo, es conocido como top-down y el segundo modelo es el down-top. Sin duda algo, bastante nemonico. Pero, veamos mas:
-En un modelo top-down, son los altos ejecutivos los que manejan y supervisan los programas de seguridad de la informacion, convirtiendolos en los principales responsables. Por supuesto, esto trae ventajas considerables como mayor apoyo financiero, mayor respaldo para la ejecucion de sanciones de politicas, y una inherente aprehension a la sensibilizacion de seguridad. Este modelo se basa su accion en la autoridad jerarquica.
-Por otro lado, en el modelo down-top sucede todo lo contrario. Aqui, son los entes operativos/tecnicos, quienes al hacer frente a los diarios problemas de la seguridad (vulnerabilidades, ataques externos, violaciones internas, monitoreo, gestion, entre otros) se ven en la necesidad de plantear mejores practicas (procesos, personal e infraestructura) a los ejecutivos de alto nivel dentro de sus organizaciones.
Este segundo modelo, el cual basa su accion en la autoridad del conocimiento (si lo nota algo mas contemporaneo), lleva a que nuestros profesionales de TI, sean quienes a toda costa luchen y se esfuercen por transmitir la necesidad a los responsables de aprobar los programas de seguridad. Penosamente, la experiencia nos dice que es aqui donde falla el modelo, por que falla?
•Falla porque muchos profesionales TI obligados a comunicar y mostrar el problema a sus gerentes, hacen uso de su mejor arsenal de conocimiento tecnologico, como principal argumento a su hallazgo (que virus, que gusanos, que spyware, que phishing, que zombies, que vulnerabilidades, etc).
•Esto sumado a la pobrisima cultura de seguridad en los hombres de negocio, produce un tremendo corto circuito. Haciendo que la actitud tan proactiva y loable (down-top) de nuestros profesionales de TI se vuelva totalmente infructuosa desde la primera vista. ¿Se imagina a los altos ejecutivos de su empresa tratando de descifrar un mensaje tecnico? No, jamas, simplemente lo obvian (sus negocios son mas importantes) En tercer lugar, reconocemos que el modelo top-down, es el ideal que todos deseariamos ver en nuestras empresas. Sin duda, nada mas hermoso que nuestros gerentes comprendan mejor de seguridad. Pero, siendo sinceros a la realidad, debemos aceptar con madurez que el ideal, es solo eso.
•No obstante a ello, en muchos de nuestros viajes y encuentros con gente de seguridad de diversas partes del mundo, hemos comprobado la alta incidencia de exito en el factor down-top. Y no al reves (como reza el mito planteado inicialmente). Fíjese bien, los mejores modelos de seguridad han funcionando por decadas bajo el concepto down-top. Wikipedia por ejemplo, no hubiera sido tan exitosa si su creador no abandonara el modelo top-down de su primer proyecto enciclopedio llamado Nupedia. Otro mas, es el centro CERT/CC, que inició con un modelo down-top luego de que el Morris Worm colgara el 60% del Internet. Igualmente los mejores centros de intercambio de buenas practicas como NANOG, APRICOT, FIRST.Org Inc., entre otros, se formaron bajo ese mismo modelo.
•Desde sus inicios, las instituciones citadas, usaron el modelo down-top; es decir, tecnologos proponiendo controles y estrategias de controles a las altas esferas de los gobiernos, companias, y organizaciones en general. Siendo ese el modelo imperante en nuestro pais, nos preguntamos ¿por que entonces nuestros bien intencionadas programas de seguridad fracasan antes de siquiera entrar al horno? ¿Donde esta nuestro error?.
La respuesta es sumamente sencilla de subrayar, aunque algo dificil de lidear con exito, se llama lenguaje. Es decir, la total diferencia de lenguajes que usamos entre la gente de tecnologia y la gente de negocios. La verdadera historia detras del mito, es que nuestras propuestas y programas de seguridad a la alta gerencia fracasan -producto del abuso de nuestro excelente lenguaje tecnologico a la hora de expresar ideas de riesgo a un mundo cuyo lenguaje primordial es el de los negocios.Esto nos lleva a definir como el 3er. gran error de la seguridad, la ineficiente e inexistente comunicacion entre los custodios y los duenios de la informacion. La comunicacion, un elemento tan importante que cientos de profesionales TI hemos descuidado vez tras vez, en aquellas propuestas de seguridad presentadas a nuestros gerentes, que no tuvieron eco.
0 comentarios:
Publicar un comentario