Direccion y seguridad: siguen sin entenderse

Me gustan los artículos donde, sin necesidad de aportar nada especialmente novedoso, son capaces de resumir y concretar en pocas palabras muchas ideas que siempre andan revoloteando por ahí pero que pocas veces encontramos sintetizadas. Este artículo, que explica los 10 peores errores de la dirección en materia de seguridad de la información, es uno de ellos. En resumen, estos errores vienen a ser los siguientes:

• Asignar la seguridad de la información a personal no especializado: No me parece tan grave el hecho inicial, sobre todo teniendo en cuenta que no es tan sencillo encontrar a alguien realmente especializado, como la segunda parte, la de no proporcionar a esa persona la formación especializada que requiere. Aunque normalmente sí que le exijan que haga bien la función que le han asignado...
• Seguridad de ámbito parcial: Es un caso muy habitual, y es no ver la seguridad de la información desde el punto de vista del negocio, global, sino restringirlo a un ámbito determinado, normalmente IT o seguridad física.
• Falta de entendimiento: Aunque es posible que la culpa en este caso sea más de los responsables de seguridad, hay que ser capaz de traducir la inversión en seguridad a términos de negocio, que entienda la dirección.
• Insuficiente mantenimiento de los dispositivos de seguridad: Aunque el artículo sólo habla de que los dispositivos de seguridad no sólo hay que comprarlos, sino mantenerlos y operarlos para que sigan siendo efectivos, yo también recordaría aquí aquello de que no es suficiente con tener (incluso actualizados) "cacharros" de seguridad. La seguridad real va mucho más allá...
• Seguridad dependiendo de informática: También suele pasar, y es un agravante del caso de seguridad de ámbito parcial. Como bien dice el artículo, no se puede ser juez y parte.
• Externalizar completamente la seguridad informática: Aunque también se puede hablar del mismo problema ligado sólo a uno de los dos términos (seguridad o informática), la externalización completa no suele ser una buena solución. El principio de que la responsabilidad nunca se puede delegar (y mucho menos en un externo, añadiría yo) debe ser el principio fundamental.
• No valorar adecuadamente la información: Si la clave de un SGSI son los activos de información es por algo. Toda compañía debería saber con qué información trabaja y cuál es su importancia en términos tanto internos como de mercado, y no olvidar de contrastar esos valores desde el ámbito de la reputación corporativa.
• Actuar de forma reactiva y con parches: Me temo que uno de los males más extendidos del mundo empresarial es no atajar las causas de los problemas, y en el ámbito de la seguridad este hecho es especialmente grave.
• Ignorar los problemas: Es un comportamiento muy unido al anterior. La frase de que la ignorancia es atrevida es una verdad universal, pero en materia de seguridad esa ignorancia no nos va a salvar de los incidentes, ni de pagar sus consecuencias si llegan a ocurrir.
• Maquillar resultados por motivos presupuestarios: Es una de las prácticas más negativas en torno a la seguridad, ya que no sólo no se atajan los problemas sino que probablemente se agraven, mientras se mantenga la intencionalidad de ocultar los hechos. Y si encima se debe a motivos presupuestarios la situación es peor todavía, ya que supone que la inversión no se administra donde es necesaria...

En resumen, creo que es un listado bastante interesante. Y no por ser un análisis exhaustivo de los problemas más graves, sino porque es un buen ejemplo que puede servir a cualquiera como espejo en el que mirarse. ¿Os habeis sentido identificados? ¿Creeis que habeis superado estos 10 errores? Espero que no salgais demasiado mal en la foto...