lunes, 22 de septiembre de 2008

De la segurarquía a la segurcracia

El titulo del post es una extensión del excelente escrito publicado el sábado por un nuevo blog en esto de la "seguridad de la información" cuyos autores Edgar y Daniel han titulado Eddasec haciendo un bonito juego de palabras con sus nombres y representando la D como un par de eslabones entrelazados.
En el post original cuyo título es "De la candidez a la segurcracia" se hace una exposición del concepto de "segurcracia" y lo importante que es hoy en día entender y encajar este nuevo "elemento" en las grandes organizaciones. Tal como expone el post de Eddasec:
En la actualidad, en concreto allí donde preocupan estas cuestiones, la “lucha” se centra en alcanzar el máximo equilibrio entre seguridad y operatividad, esto se traduce en que la seguridad no condiciona en gran medida la solución de todo proceso, funcionalidad, operativa, etc. En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participación en la definición de soluciones. Básicamente se constituye como una línea de trabajo vertical (muy centrada en temas técnicos) y no transversal a toda la organización.

Obviamente hay excepciones y en determinados casos la estrategia se basa en la seguridad (en una entidad financiera especialmente, PERO con diferencia está centrada únicamente en canales como Internet, banca telefónica, etc.). En definitiva, desde una visión pragmática, aún queda mucho trayecto para que la seguridad tenga voz y voto en cualquier órgano de decisión, tanto en el día a día como en grandes foros estratégicos de la organización.

Pensar durante 2 minutos cuantas reuniones, para tratar temas de carácter funcional, operativo, etc., se realizan a diario en vuestros respectivos trabajos en las que por regla general también asista alguien que pueda aportar implicaciones en términos de seguridad de todo tipo (legales, técnicas, operativas, etc.). Haberlas haylas! pero, enfatizo, ¿es por norma general y para toda clase de cuestiones?

Desde aquí queremos proyectar nuestra reflexión sobre la relevancia de lo que vendría a ser la “segurcracia” (ver definición). A priori, suena algo muy rígido, duro, etc. pero en el fondo la idea es muy simple y consiste en transmitir que la seguridad se convierta en un factor (de importante peso dadas las repercusiones que puede tener) a considerar en toda decisión operativa, estratégica, funcional, etc. de cualquier ámbito de la organización.



Quizás ahora vivimos las consecuencias de haber establecido en muchas organizaciones lo que podría llamarse la "segurarquía" o el "Gobierno por y para la Seguridad". Tras los acontecimientos del 11/S y 11/M, el miedo a ser vulnerable, el modelo humano de gestión del riesgo, la ausencia de control generó una respuesta basada en querer vigilarlo todo a cualquier hora y en cualquier lugar. La magnitud de los acontecimientos y su naturaleza nos llevaron a pensar que el campo de las amenazas a gestionar se había hecho muy grande (todo usuario podría ser una potencial bomba, todo pasajero es una amenaza a no ser que demuestre lo contrario) y entramos en un mundo que quería basar sus decisiones en la seguridad, una nueva segurarquía que sirviera para justificar una rebaja de los derechos adquiridos durante años a la presunción de inocencia y a la intimidad.

Y todo ese discurso político del miedo generó grandes gastos en seguridad, pero no en una seguridad racional basada en "análisis de riesgos" sino en una seguridad basada en lo psicológico y políticamente correcto, queriendo vender "protección" y "sensación" de seguridad en circunstancias que no pueden ser fácilmente gestionables. Para los políticos era más interesante querer vendernos la "nueva seguridad aérea" que pensar que las necesidades reales como posteriormente se han encargado de demostrar las catástrofes naturales. Estaban protegidos frente a la hipotética y poco probable acción del antrax pero no frente a la fuerza de un huracán en una zona frecuentemente afectada por ellos.

Y ahora volvemos de nuevo a poner un poco de racionalidad a todo, a pensar en la segurcracia como un nuevo modelo de gestión basado en la seguridad, sí, pero no a cualquier precio. Ahora el nuevo discurso somete la seguridad al correcto alineamiento con los objetivos de negocio. No vale imponer desde los departamentos técnicos que el correo corporativo se limita a 5 MB si nuestras necesidades laborales requieren un mayor buzón de correo. Esta nueva cultura debe ser aprendida ahora por los departamentos técnicos que deben entender que "el análisis de riesgos" es la mejor herramienta para justificar sus decisiones. El criterio de sacar el dedo o aplicar el sentido común ha caducado. No se trata tanto de poder decir que se tienen perfectamente todas las medidas de seguridad, sino justificar que se tienen justamente las más necesarias, aquellas que están minimizando los mayores riesgos, aquellos que la organización ha establecido que se deben gestionar. Aún queda tiempo para que esta nueva cultura cale, pero al menos el proceso de certificación ISO 27001 obliga a que quien quiera pensar en "gestionar seguridad" lo haga de esta manera.

1 comentarios:

des dijo...

Veo, como dices, esa necesidad psicológica de seguridad... y me pregunto si la forma de manejar alguna vulnerabilidad, por ejemplo, la última del DNS, también pueden haber contribuido a esto. Un saludo :)

 
;