LA SEGURIDAD, UNA ACTITUD En multitud de ocasiones hemos tenido oportunidad de escuchar la pregunta: “¿Qué es seguridad?”, y hemos obtenido múltiples y variadas respuestas, normalmente influenciadas por el objetivo o posición de quién responde.

ARTÍCULOS TÉCNICOS

LA SEGURIDAD, UNA ACTITUD
En multitud de ocasiones hemos tenido oportunidad de escuchar la pregunta: “¿Qué es seguridad?”, y hemos obtenido múltiples y variadas respuestas, normalmente influenciadas por el objetivo o posición de quién responde.
Normalmente pensamos en seguridad de TI en términos de un producto, solución, herramienta de tecnología o incluso en procesos, métodos, conocimientos y maneras de implantación de un proyecto.

Si bien es cierto que la disciplina de seguridad abarca todos esos elementos, algunos otros y, aún más importante, una eficiente y efectiva combinación de esos factores, creo firmemente que la seguridad es, por encima de todo, una actitud.

Una actitud de responsabilidad frente a los clientes y consumidores del producto o servicio que ofrece su compañía; una necesaria actitud de alineamiento estratégico con el objetivo y foco de su organización; una actitud de aportación de valor a empleados y accionistas a la vez que efectiva en términos de coste/beneficio. En definitiva, una actitud frente al constante reto de proteger el negocio de amenazas internas y externas mientras se permiten y facilitan los accesos de forma segura a activos y procesos. Además, esta actitud que menciono debe incluir la necesidad de gestionar el entorno de seguridad que poseamos de manera eficiente.

Y es que resulta común en nuestra industria pensar que un buen producto o herramienta tecnológica ya nos hace seguros; que la implantación de procesos puntuales, como una auditoría, resuelven nuestros problemas en lo que accesos no permitidos y vulnerabilidades se refiere. Y, por desgracia, este tipo de aproximaciones no nos hacen necesariamente más seguros.
Si bien es cierto que lo mencionado anteriormente, junto a otros muchos eventos que podemos citar, ayuda a gestionar mejor el estado de nuestra seguridad, el componente fundamental para hacer de ello algo recurrente -un ciclo vivo que nos ayude en el proceso de “analizar, corregir y prevenir”- es la actitud de desearlo, la visión, conforme es necesario para el negocio, y cuya aportación de valor está fuera de toda duda. Sólo si se tiene culturalmente heredada, o corporativamente impuesta, la actitud coherente y profesional de hacer del ámbito de la seguridad un proceso más del negocio de una organización, se podrá llevar a cabo con éxito un plan director de seguridad, el despliegue de una solución de gestión de identidades y accesos o la entrada en vigor de un nuevo proceso. Sin la voluntad personal de hacer de ello un catalizador para nuevos negocios o una barrera para las amenazas, las cuestiones anteriormente mencionadas serán proyectos aparentemente integrados en una visión y gestión corporativa, pero efectivamente aislados desde un punto de vista de retorno de inversión y, sobre todo, de eficacia y aportación real de valor.

Factor humano
Y existe, a lo largo de todas estas líneas, un factor de importancia mayúscula que está íntima e intrínsicamente relacionado con la actitud: el factor humano. Sólo las personas son capaces de adoptar una postura racional frente a algo, decidir cuál será su actitud frente a un reto o tarea asignada. Así, un Chief Security Officer, Chief Information Officer, responsable de seguridad, gestor de infraestructuras informáticas, director del departamento de TI, etc., debe interiorizar los objetivos corporativos y sincronizar las tareas y métodos de gestión, de manera que éstos protejan, ayuden y mejoren el rendimiento de la organización.
Esto es, en definitiva, la adopción de una actitud que, idealmente, debe estar en el “ADN profesional” del trabajador, al haberse formado y haber acreditado su experiencia a través de certificaciones en el área objeto de la tarea encomendada; o bien, como apuntaba anteriormente, se trata de una actitud transmitida o impuesta a través de la cultura corporativa. En el primer caso, es más probable que la actitud sea sólida y firme al partir de conocimientos de la problemática de base; mientras que en el segundo, existe una probabilidad de rechazo o, al menos, de falta de “robustez” en la postura adoptada, al carecer, probablemente, de cimientos sólidos que permitan a ese “factor humano” escoger su opción de manera natural.
En el otro lado del espectro, a modo de contraste, el “factor humano” representa una amenaza continua y creciente como lo demuestran los recientes ataques de phishing e incluso el más novedoso pharming (que algunos expertos señalan como un nuevo método de DNS Spoofing -suplantación de DNS-). Todos estos ataques, enmarcados dentro del ámbito de las amenazas de ingeniería social, tienen a las personas como objetivo, pero lamentablemente, también como iniciadores del ataque. Ello implica, de nuevo, que la actitud y la voluntad lo son todo, en cuanto a seguridad se refiere.

Existen soluciones y métodos efectivos para minimizar los ataques de ingeniería social pero requerirán de la cultura organizativa y la transmisión del conocimiento respecto a lo que se debe o no se debe hacer, con determinados mensajes, páginas web, etc. Una vez más, requerirá de un compromiso personal y profesional que evite que nuestra empresa comprometa sus datos confidenciales y reduzca su productividad. Ese compromiso está basado en algo que se nos presenta de capital importancia para una gestión efectiva de la seguridad: la actitud.

En definitiva, lo que se ofrece delante de un profesional responsable de gestionar la disciplina Security Management de una empresa son un conjunto de políticas corporativas, herramientas, procesos de negocio, personas, flujos de trabajo e información, etc. que deben ser optimizados para producir en un entorno más seguro y, si es posible, mayor, más rápido y más eficiente.

Estas tareas se llevan a cabo diariamente por profesionales en todo el mundo con algo en común, algo fundamental para gestionar un entorno de seguridad TI: han adoptado una actitud respecto a cómo quieren que evolucione su compañía. Y eso, probablemente, marca la diferencia.
Ramsés Gallego, Alliance Partner Advocate, CA

Entradas populares