Cómo ha pasado el tiempo. El otro día – el 2 de Septiembre, para ser más exacto – me llegó a mi correo una solicitud de aprobación de un comentario de este blog. Y recién ahí vine a darme cuenta que han pasado casi 3 años desde mi última publicación en este sitio. Y vaya que ha pasado agua bajo el puente. Tanta como puedan imaginarse. Y posiblemente más.
Y en estos casi 10 años que llevo metido en el mundo de la Seguridad de la Información he deambulado por los distintos ámbitos y escenarios que ofrece este fascinante mundo. Desde el mundo de la pedagogía, la investigación y desarrollo, las soluciones técnicas de seguridad y ahora último, el amplio mundo de la gestión; formando parte del mundo de los clientes y también del mundo de los proveedores.
Casi 3 años han pasado desde la última vez que escribí en este blog. Y hoy decidí volver a darme una vuelta por éste, que fue mi hogar virtual por tanto tiempo, para abrir el debate sobre una pregunta que me siempre me dado vueltas por la cabeza referente al mundo de la seguridad de la Información.
La Seguridad y el Negocio, ¿Son amigos o rivales?
Es sin duda una pregunta que difícilmente podremos resolver acá.
Recuerdo mi época de proveedor de servicios. Trabajaba en el área más desafiante de cualquier consultora de tecnología: el área de seguridad de la información. Vender una solución de seguridad era sin duda un gran desafío; lograr vender un proyecto o servicio de seguridad era mucho más complejo que vender una actualización de Exchange o de Directorio Activo. Nuestra facturación siempre estaba en la cuerda floja, y había que extremar recursos para poder vender una migración de la plataforma antivirus, o un análisis de las políticas de grupo de una compañía o de las prácticas de seguridad de servidores que tenían en el área de informática. Siempre me pregunté el por qué se hacía tan difícil implementar este tipo de soluciones.
Pasaron los años y ya conociendo la otra cara de la moneda – vale decir, el lado del cliente – es que logré entender un poco mejor en donde residía la dificultad de introducir mejoras de seguridad en el mercado. Y es que por regla casi general, la seguridad es vista como un enemigo natural del negocio. Y es algo de lo cual no necesariamente podemos culpar a las organizaciones, ni al sistema. Hasta cierto punto, la seguridad si es enemiga del negocio. Los controles de seguridad incorporan actividades que impactan en tiempo y complejidad a los procesos. Pasando por el simple ejemplo de un firewall, que al ser implementado necesariamente introduce un delay en el flujo de paquetes, un antivirus que revisa constantemente los archivos en búsqueda de secciones de código que coincidan con algunas de las firmas existentes en la base de datos del motor o un proceso formal de autorización de intercambio de información, que incorpora actividades de análisis de riesgo que pueden dilatar la entrega de los datos en uno o dos días. Mirado desde ese punto de vista, la seguridad suele entorpecer el negocio, lo cual tiende a generar un rechazo casi inmediato del usuario final que desea maximizar su producción y quedar más cerca de cumplir con las metas de su negocio, lo que generalmente está asociado a la obtención de un bono de desempeño.
Por otro lado, la seguridad tiene el gran inconveniente de estar asociada intrínsecamente al concepto de Riesgo. En otras palabras, las soluciones de seguridad de la información consisten por lo general en controles que nos protegen sobre situaciones que no sabemos con certeza si van a ocurrir. «Pero si no hemos tenido un incidente en años» es un argumento al que constantemente los especialistas de seguridad de la información se ven enfrentados al defender la incorporación de un nuevo control en un proceso que «hasta ahora no ha fallado nunca». La complejidad que tiene el cálculo del ROI (Retorno de inversión) de una solución de seguridad es otro factor a favor de la definición de la seguridad como un rival del negocio.
Sin embargo, la seguridad de la información no es necesariamente un rival del negocio. El establecer controles ciertamente puede hacer las cosas más lentas, pero puede por otro lado garantizar la continuidad de nuestro negocio, algo que si es ampliamente valorado por el mercado actual. O puede evitarnos la exposición a multas, sanciones o incluso la pérdida de nuestra imagen corporativa. El dicho de «no sabes lo que tienes hasta que lo pierdes» cobra gran sentido en este aspecto.
¿Cómo poder transformar la visión clásica de la seguridad como un enemigo del negocio en algo totalmente opuesto a ello?
¿Que opinan ustedes?
¡Bienvenidos de vuelta!
Tips y artículos de seguridad 