Este tipo de reuniones son bastante enriquecedoras y todo un soplo de aire fresco para los que el día a día cada vez nos deja menos tiempo para mantenernos actualizados sobre las tendencias que corren en éste área. Personalmente creo imprescindible como profesional en ejercicio es ir conociendo experiencias y referencias de cómo se hacen las cosas en otras organizaciones y lugares del mundo.
En cuanto a los temas tratados, creo que todos los asistentes nos trajimos un mensaje claro: El responsable de seguridad de la información nunca debe ser el polí malo de la organización que siempre dice "no" a nuevos servicios y nuevos recursos. Quizás esto resulte nuevo para muchos de los responsables que vienen tradicionalmente del mundo de la seguridad lógica o física, pero no lo es para aquellos que nos iniciamos en esto desde el área de la gestión. La introducción de la disciplina de análisis de riesgos en la seguridad es precisamente la pieza clave para ponderar la importancia de una necesidad de negocio frente a su impacto en la seguridad.
Las charlas, de gran nivel por parte de los ponentes extranjeros, introdujeron también varias reflexiones a destacar:
- La importancia del rol del responsable y su encaje dentro de la organización. Se destacó que un buen responsable de seguridad debe ser un buen comunicador, debe explicar situaciones para que la dirección pueda tomar buenas decisiones respecto a los riesgos. Su misión es indicar las posibles consecuencias sobre ciertas decisiones, definir el riesgo y hacer que la Dirección obre en consecuencia. Básicamente el "Chief Information Security Officer" (CISO) debe ser un consultor interno para la Dirección que muchas veces no valora de forma holística las diferentes consecuencias que puede tener una decisión cuando afecta a la seguridad. Varios ponentes estuvieron indicando también el mejor lugar donde colocar al CISO dentro del organigrama de una organización
- La importancia de justificar y vender bien a la organización el por qué de la seguridad. En este sentido, las organizaciones que gozan de mejor seguridad son aquellas que han logrado implicar y hacer partícipes a todos sus usuarios. Todos forman parte activa de la protección de los activos y ello sólo se logra mediante la concienciación. Se insistió mucho en la gran importancia que tiene este factor dentro de la "cultura de la seguridad" de una organización.
- La necesidad de contar con "alianzas" dentro del organigrama para que ciertas decisiones sean bien acogidas. En este sentido se destaco la importancia de disponer de relaciones fluidas entre el CISO y el Chief Information Officer (CIO). En España este término se acuña para definir al Responsable de Sistemas de Información que muchas veces también tiene asignada la función de CISO. En las organizaciones más maduras ya se han dado cuenta de que ambos roles deben estar separados para evitar conflictos de intereses. El CISO es una posición de control mientras que el CIO es una posición vinculada a proporcionar medios y recursos para la organización.
- La transcendencia que tiene la "cultura de la organización" para el despliegue de la seguridad. Se estuvo destacando que no existen fórmulas mágicas que permitan implantar planes y programas de seguridad para todas las organizaciones. Cada empresa e institución tiene una "cultura" interna y el responsable de seguridad debe conocerla y obrar en consecuencia. No se puede ir contra corriente y como se suele decir "si no puedes con tu enemigo, únete a él". En este sentido, el CISO debe tener mano izquierda y debe buscar la mejor manera de lograr sus objetivos sin enfrentarse a la organización ni a las necesidades de negocio. Si destararía la ventaja del consultor frente al responsable de seguridad de una organización. En mis diez años de bagaje profesional he descubierto que el factor principal de éxito de todo proyecto de seguridad de la información consiste en descubrir esa "cultura de la organización" que debe moldear y condicionar el cómo trabajar para que la seguridad aporte valor y sea vista como algo positivo. Es un tema complejo para una persona que no vive dentro de la organización pero en proyectos largos como una implantación de un SGSI, esa "cultura" es el viento que mueve el barco del proyecto y que puede hundirlo o hacer que llegue a puerto antes que nadie.
El único aspecto negativo que este tipo de eventos produce es cierta envidia profesional respecto al nivel que hay en Madrid o Barcelona frente a otras ciudades menos relevantes. Las grandes empresas están en los núcleos de negocio y los responsables de seguridad deben residir en ellas.
Sin embargo, el aspecto positivo (además de la calidad de vida que da no vivir en grandes ciudades) es que a los que estamos en la periferia nos toca lidiar también con problemas de seguridad interesantes pero en organizaciones que son más pequeñas y con menos tradición de seguridad. Ello nos dota de habilidades camaleónicas, que nos obligan a tener que adaptarnos a diferentes culturas, organizaciones y personas por el bien de nuestros proyectos. Además, el primer reto suele ser explicar esta nueva filosofía de la seguridad basada en riesgo y hacer entender la importancia y el valor que va a proporcionar la seguridad de la información dentro de la organización. Nos fuerza por tanto a una primera fase de marketing sobre la seguridad y tener que ser buenos comunicadores. Estas cualidades fueron destacadas por los ponentes como muy atractivas para aquellas empresas que quieran seleccionar a un buen responsable de seguridad. Si tengo claro que en un futuro espero que no muy lejano, mi siguiente reto profesional será ejercer de esta figura en una organización. Es bonito diagnosticar pero debe ser mucho más satisfactorio el además hacer seguimiento del paciente para ver su evolución y cómo las cosas se van gestionando hasta lograr los objetivos. Este tipo de experiencias si las he podido vivir en proyectos de implantación de SGSI donde al menos llegas hasta el primer o segundo ciclo del PDCA y vas viendo como los indicadores empiezan a modificar su tendencia y a converger hacia los objetivos planteados.
Quien quiera algo más de información o saber qué ponentes asistieron puede consultar la nota de prensa que publicó ISMS Forum ayer.
Para aquellos que no conozcáis ISMS Forum, es una asociación de profesionales que pretende compartir experiencias y conocimientos en mejora del sector y de esta disciplina. Suele generar un par de eventos al año y también proporciona publicaciones y material muy interesante. El precio para profesionales es de 60 € y da derecho a asistir de forma gratuita a los eventos y a recibir las publicaciones. Las condiciones para asociarse pueden ser consultadas aquí pero es una asociación de esas que aportan mucho valor por un módico precio.