No creo en la seguridad de la información. Apoyo la seguridad de la información. Exhorto a las organizaciones a implementar y mantener la seguridad de la información. He construido mi carrera en torno a la seguridad de la información. Pero no creo en ella. Creer es en negro o blanco. No admite que existan tonos de gris. La seguridad no es un absoluto.
Creencias y causas
Tengo creencias—religiosas, morales y políticas, y de las cuales no tengo absolutamente ninguna intención de abordar en este Revista o en cualquier otro foro público. De hecho, ellas no son adecuadas a esta discusión porque, como creencias, ellas no son objeto de discusión. Un conjunto de creencias sólo puede ser confrontado por otras creencias, sin necesidad de tener que probar si ellas son correctas o erradas. En el pasado e incluso en la actualidad, las personas han muerto por lo que ellas creen. Me gustaría pensar que tengo la fuerza de carácter para morir por mis creencias, pero estoy seguro de no estar dispuesto a morir por el bien de la información segura en cualquier corporación o agencia gubernamental.
Les traigo esto a colación porque me encuentro con muchos profesionales de la seguridad que actúan como si la información fuera para ellos, un esfuerzo sagrado. A diferencia de los típicos sistemas de creencias, la seguridad no tiene creencias contradictorias. Nadie está en contra de la seguridad. (Por supuesto, eso no es literalmente cierto. Hay alguna gente muy mala que está en contra de la seguridad o, más precisamente, son contrarios a su seguridad, pero no así de la propia.) En la ausencia de un contra argumento, algunos profesionales de la seguridad que he conocido, tratan a la seguridad de la información como una Causa, no como un atributo de los sistemas de información.
¿Y qué? ¿Por qué esto es malo? ¿Qué es lo erróneo de tener un poco de fervor profesional? Mi preocupación es que tal celo conduce a la intransigencia. No sólo aísla a la persona, sino que también crea una atmósfera que es contraria a la creación de una cultura de seguridad efectiva en las organizaciones. Si la seguridad es retratada como La Única vía Verdadera, sus proponentes pierden de vista el hecho de que otras partes interesadas tienen diferentes incentivos, como la reducción de costos, el logro de la misión y de los beneficios. No es que la seguridad sea perjudicial para ellos, pero las multitudes cerradas de mente pierden la capacidad de comprender qué es lo que motiva a las otras personas. Por lo tanto, la seguridad recibe resistencia en lugar de comprensión, lo cual podría llevar a la gente a acomodar la seguridad considerando sus propios elementos motivadores.
Contexto
Este no es un argumento a favor del compromiso con los principios básicos de la seguridad de la información. Prefiero pensar que es el reconocimiento de que la seguridad debe ubicarse en un contexto. Los requisitos de la seguridad difieren en todo tipo de organizaciones en base a su tamaño, riesgos, recursos y misión. Así, por ejemplo, una empresa que hace simples productos para el hogar no tiene necesidades de seguridad tan estrictas como los de, por ejemplo, un gran banco donde podrían perderse miles de millones, o bien los de un hospital, donde las vidas de las personas están en juego.
Además, la seguridad de la información no es un monolito. La privacidad de los datos es una preocupación importante para los que se dedican a la salud o los seguros, pero no tanto para los manufactureros, para quienes los secretos comerciales sí son una cuestión primordial. La prevención contra el fraude es uno de los focos de las instituciones financieras, pero lo es menor grado para dueños de restaurantes. Por lo tanto, alguien que presiona simultáneamente por todos los aspectos propios de la seguridad podría ser solo visto como un tonto si él o ella presionan demasiado en todos ellos.
Esto aplica incluso en esta era de los ciberataques. Tanto como yo desdeño a aquellos que desechan a esta amenaza diciendo que ella no aplica a sus organizaciones,1 también es cierto que algunas industrias son objetivos más tentadores que otras. Es menos probable que sea atacada una pequeña empresa, por decir, que hace juguetes de plástico2 que una firma gigante de corretaje global. Una vez más, todo es una cuestión de contexto.
Persuasión, no proselitismo
En todas las organizaciones, la seguridad de la información necesita defensores o partidarios, pero no fanáticos. Nadie va a lograr sus objetivos actuando solo en cualquier departamento de seguridad de la información. La seguridad debería ser comunicada y promovida a través de todos los técnicos y usuarios de la organización. Esto requiere persuasión, no hacer proselitismo. La seguridad debe ser entendida como una forma de hacer negocios, que es beneficiosa para asegurar la organización, y que también es beneficiosa para las personas.
La bondad inherente de los recursos de la seguridad de la información debe ser demostrada, y no sólo presentada como una verdad revelada. Los profesionales de la seguridad de información deben ser vendedores, profesores, líderes y exponentes. No creo que el papel de un clérigo se ajuste muy bien para este caso.
He escuchado a muchos profesionales de la seguridad quejarse de que su gestión no es sólo el “conseguirla”. Raramente he escuchado a alguien decir, “No hice un trabajo bastante bueno explicando los beneficios que les traería la seguridad”. Sugiero que la causa de la obstinación en la gestión no está en oposición a la seguridad, pero sí en la habilidad de ver un cierto grado de seguridad aceptables. Una creencia (fe) en la seguridad de la información no permite graduaciones; menos del 100 por ciento significa que hay un agujero, lo que significa que la seguridad es incompleta, lo que a su vez significa que no hay seguridad en lo absoluto. La eficacia surge de la comprensión que la seguridad es una variable, no un absoluto.
Las conferencias y seminarios son maravillosos para el aprendizaje, pero no son lugares ideales para escuchar diferentes perspectivas acerca de la seguridad. Si todos en la sala son compañeros de profesión, probablemente no habría algunos que estuviesen más fuertemente a favor de recursos de información segura que otros. Existen supuestos compartidos y un vocabulario común que refuerzan el parroquianismo existente. Las presentaciones realizadas en general son acerca de cómo hacer mejor la seguridad, pero no de hacerla suficientemente buena. Es fácil ver cómo el contexto podría perderse y el celo podría asumir el control. Si esa mentalidad (de celo) se lleva de vuelta a la oficina, para aquellos que no estén igualmente apasionados, lo más probable es que se alejen y que sean dejados de lado por el entusiasmo resultante.
Nosotros quienes estamos en esta profesión “hacemos” seguridad todo el día. Es la razón por la cual venimos a trabajar y muchos de nosotros también la llevamos a la casa con nosotros, en nuestras cabezas y si no, en nuestros bolsos. Nuestro objetivo es, o debería ser, no hacer que otras personas hagan lo mismo que nosotros, sino más bien incorporar una apropiada seguridad en lo que ellos hacen durante el día. Deben hacer sus ventas en forma segura, manejar los libros contables con seguridad, contratar y despedir personal con seguridad.
Mejor, queremos que ellos influencien a otros para trabajar también con seguridad. Pero no los haremos miembros de una campaña, porque ésta no es su lucha.
He discutido con colegas la cuestión de la seguridad como una creencia y he observado dos reacciones. Algunos me tratan como un apóstata por el solo hecho de haber planteado esta cuestión. ¿Cómo yo podría abandonar “la fe”? Otros dicen que planteo a un hombre de paja, ya que nadie se acerca a la seguridad de la información como una religión o causa. En cualquier caso, evidentemente no expliqué lo suficientemente bien mi posición. De todas formas, es necesario ser un defensor de la seguridad de la información. Ser creativo e influyente en las comunidades de las cuales usted es parte. Pero temperar el mensaje para que la seguridad de la información sea percibida como algo beneficioso para el individuo y la empresa, no es una virtud en si misma.
Notas finales
1 Ross, S.; “Bear Acceptance,” ISACA Journal, vol. 4, 2014, www.isaca.org/resources/isaca-journal
2 Gurtke, C.; “No Business Too Small to Be Hacked,” The New York Times, 3 January 2016, www.nytimes.com/2016/01/14/business/smallbusiness/no-business-too-small-to-be-hacked.html?_r=0. The example was not chosen idly. In 2015, Rokenbok Education, a toymaker with seven employees, was the victim of not one, but two cyberattacks.
Steven J. Ross, CISA, CISSP, MBCP
Es director ejecutivo de Risk Masters International LLC. Ross ha escrito una de las columnas más populares de la revista desde 1998. Puede ser contactado en stross@riskmastersintl.com.