¿A qué viene todo este rollo previo? Lo que trato de contar es la experiencia personal que sufro en ciertos proyectos donde participo como consultor de seguridad para el desarrollo de un marco normativo (normas y procedimientos de seguridad) basados en la ISO 27001. Parte de mi trabajo consiste en asesorar o recomendar la forma de hacer efectivas las medidas de seguridad que requieren los sistemas de gestión de la seguridad de la información. Hace ya mas de cuatro años participé en el proyecto de construcción de un SGSI y como mi experiencia y conocimiento se centra más en los aspectos formales de la gestión y de la formalización de las medidas, desarrolle un conjunto de normas básicas de seguridad (que establecen las restricciones o requisitos que la organización quiere cumplir) y un conjunto de procedimientos que los implantan (definen las tareas, actores y registros de ejecución que deben implantarse). Este tipo de proyectos se ha venido repitiendo en los últimos años y por tanto, la documentación inicial ha ido mejorando, evolucionando y completándose para hacer de ella un marco maduro y bastante completo de más de doscientos folios.
Sin embargo, lo que más me sorprende últimamente es el poco "valor percibido" que se dan a esos documentos por parte de nuestros clientes. Ellos no han tenido que enfrentarse al temible "folio en blanco" y por tanto, no pueden valorar lo complejo del proceso creativo que supone leer la norma ISO 27002 e imaginar cómo hacer algo real y ejecutable su cumplimiento. Ellos se limitan en muchos casos a cambiar logotipos, modificar las responsabilidades y con eso, suponen que adquieren y reciben el conocimiento inducido que cada documento tiene tras de sí. El algunos casos, la redacción de un solo documento ha podido costar más de dos semanas de trabajo y sin embargo, la adaptación en su organización es cuestión de horas. En parte este es el servicio que se proporciona en un proyecto así y es el valor que aporta la consultora.
Lo que falla por parte de los clientes es, en muchos casos, que ese conocimiento inducido no es procesado, no es adquirido ni asimilado y el desarrollo del marco normativo se limita al "cut&paste" de las "formas" sin procesar el "fondo". Nuestro conocimiento en forma de plantilla de documento requiere de un esfuerzo por integrar en la realidad de cada cliente cómo hacer las cosas. Es cierto que al basarnos en estándares, lo que hay que hacer está mas o menos definido y es lo que nos ha permitido formalizar con carácter general los controles, pero hay cierto margen de libertad que permite a cada cliente adecuar a su contexto los controles. Sin embargo, no hay en muchos casos esa reflexión madura de tratar de entender qué persigue el control, que plantea el documento-plantilla y qué finalmente será la redacción particular que deberá tener el procedimiento integrado en la organización.
En el fondo, a nuestro marco normativo le ocurre como a otras muchas cosas de esta cultura del "cut&paste". Quiere ser publicado y utilizado rápidamente pero no es masticado, generando un marco normativo que no es ni siquiera conocido por el área responsable de su difusión y ejecución. Y es que comprar un documento no es comprar conocimiento, es simplemente adquirir una base bastante desarrollada que permite tomar rápidamente las decisiones más oportunas para poder lograr implantar un control. Sin ese esfuerzo de moldear y particularizar el documento al contexto y a la realidad de cada cliente, las cosas quedan muy cojas, produciéndose cierta "infoxicación" en materia de seguridad. El marco documental está constituido por 11 normas (una por bloque para tener claro en qué documento se regula qué aspecto de la seguridad, de acuerdo con lo establecido por ISO 27001) y unos 30 procedimientos (con las tareas operativas que hay debajo de muchos de los 133 controles de la norma). Un total de unos 200 folios que se ven como un ladrillo si no se tiene claro que se quiere hacer con ellos y por qué. Sin embargo, para quien tiene claro qué necesita, permite formalizar y documentar perfectamente el marco normativo que quiere aplicarse a la información y hacerlo en relativamente muy poco tiempo (a tiempo completo, en un mes se puede tener todo adaptado). La documentación ha sido desarrollada basándose en la norma (pero sin ser un copia y pega de la misma sino una interpretación práctica) bajo un criterio de máximos (Se redactó pensando en disponer de las mejores y más restrictivas medidas de seguridad para que los clientes borren o eliminen aquello que no pueden cumplir o no van a implantar). Sin embargo, este potente armamento necesita de un soldado hábil que conozca lo que la norma dice y lo que él quiere hacer real. De lo contrario, se transforma en un texto que se interpreta como ley y del que da miedo borrar cosas siendo visto más como un obstáculo que como una ventaja competitiva. Y esa distorsión de la percepción es causada principalmente por no haber tenido que sufrir la dura batalla de luchar contra el folio en los primeros momentos y no saber cuanto hay que sudar la camiseta para tener una norma o procedimiento en condiciones.
Casualmente poco después de haber posteado este artículo, he podido ver en la televisión el nuevo anuncio del Audi A7 que viene a expresar algo parecido, el poder de la hoja en blanco.
Nuestra sociedad va tan deprisa que apenas valora lo complejo que es producir o crear y sólo se limita a localizar o utilizar. Sin embargo, para "generar" o "crear" se requiere talento y conocimiento. Para "localizar" o "utilizar" sólo se requiere habilidad. El camino de la creación siempre conduce hacia la sabiduría. El de la utilización o uso puede que acabe en el mismo sitio pero no tiene porqué ocurrir siempre.
Para terminar en positivo, creo interesante que veáis las reflexiones de Alfons Cornellá sobre qué es la "Infoxicación".
Como recomendación, creo interesante que leáis también a Berto Pena y sus dos magníficos post sobre "la Dieta de información" (Leer en ThinkWasabi los post I y II).
Este verano, como parte de las tareas de mejora de mi productividad personal pasé varios días reordenando mis subscripciones RSS en Google Reader agrupándolas en los 5 temas que más me interesan y poniendo además la etiqueta LD (lectura diaria) y LS (Lectura semanal) como sufijos. Además, decidí que una vez que la etiqueta caduca, doy el contenido por procesado, marcando como leído esos contenidos y eliminando esa tarea semanal de mi agenda. Si no lo puedo procesar, no puede figurar entre mis asuntos como pendientes. Tampoco es viable o posible estar al tanto de todo y prefiero, cuando tengo un momento, dedicarle un rato a lo que considero imprescindible antes que andar buceando en miles de entradas pendientes que no voy a poder masticar como es debido. Prefiero la "calidad del procesamiento" a la "cantidad" aunque pueda sacrificar el estar al tanto al menos de oídas de cómo van las cosas. He cambiado el hojear por el procesar, de acuerdo también al tiempo máximo que estoy dispuesto a dedicarle a esa tarea dentro de mi día a día. Es importante para mi pero no es mi trabajo ni mi máxima prioridad.