05 abril 2011

Seguridad y meta-gestión

La consultoría es un timo. Esa fue la frase que escuché hace unos días, al tiempo que la mitad de los presentes ponía (poníamos) una cara horrorizada -los "consultores"- y la otra mitad sonreía con gesto de aprobación -los "clientes". Y hablaba de consultoría de seguridad...

En el fondo, el que dijo aquella frase tenía algo de razón. Un consultor debería ser un consejero, alguien a quien le cuentas tus problemas (de seguridad, o de lo que sea) y te propone soluciones (buneas, bonitas, y baratas). Ni más, ni menos. Pero claro, piensas en la consultoría que hacen muchas organizaciones a día de hoy, y le entiendes. Documentación vendida "al peso", mínima personalización -cuando no copy-paste de algún otro cliente-, poca utilidad práctica... Es muy difícil entender que esos "entregables" son las soluciones prometidas.

Y en el mundo de la seguridad la situación todavía puede empeorar más. Normalmente los clientes tienen problemas de seguridad reales, han sufrido incidentes, sus máquinas son vulnerables, su personal "pasa" de la seguridad... y los consultores ni siquiera le ofrecen seguridad, sino gestión. Algunos, incluso meta-gestión: un consultor es la única persona capaz de darle a un cliente un procedimiento sobre cómo escribir procedimientos de seguridad sin necesidad de ayudarle a resolver los problemas (de seguridad) que deben arreglar esos procedimientos. ¿O no?

En el fondo, la situación no es tan absurda. Usando terminología "consultora", la clave es la forma de encarar el problema: top-down o botton-up. Podemos empezar por enseñar a gestionar y conseguir que esa gestión vaya consiguiendo una mejora de la seguridad aplicada, o empezar aplicando medidas de seguridad y luego enseñar cómo se deben gestionar. La aproximación "consultora", clásicamente "top-down", puede argumentar que estamos enseñando a pescar (o incluso a construir cañas, si pensamos en meta-gestión), pero se nos olvida un "detalle" fundamental: el cliente muchas veces tiene hambre. Y en función del tiempo que necesite para aprender a pescar, puede morir de hambre antes de haber aprendido...

En definitiva, creo que para perder el halo de "timo" que algunas personas asocian a la consultoría tenemos que empezar a ser más prácticos, entender más los problemas de nuestros clientes y poner los pies en la tierra a la hora de definir los "entregables". Resumiendo, enseñar a pescar está bien, pero os puedo asegurar -y más ahora que acabo de terminar de comer- que siempre se aprende más con el estómago lleno (los que no quieran perder la terminología "consultora" le pueden llamar quick-wins). 

5 comentarios:

Antonio Ramos [sorani] dijo...

Y lamento tener que decirlo, pero el auge de los SGSIs ha hecho muy poco bien a la consultoría "de verdad": Su carácter de best practice generalmente aceptada por el sector, hace que sea también generalmente recomendada por los consultores, de hecho, recomiendan el "mismo" SGSI... :-(

Joseba Enjuto dijo...

Es cierto que la "consultoría industrializada" ha hecho mucho daño, y el mundo de los SGSI no es una excepción... aunque aquí creo que tanta culpa tiene el que "entrega" un SGSI (el mismo SGSI, como dices tú) como el que lo "compra" en lugar de "construirse" su propio SGSI...
Y creo que el ejemplo vale para cualquier otro tipo de "producto de consultoría" indstrializado (sistemas de gestión, planes directores, etc.).

Javier Cao Avellaneda dijo...

Entiendo el planteamiento del post y semi comparto sus reflexiones aunque hay que buscar responsabilidades en ambos lados del problema (Consultor-cliente).
Lo "ideal" es que el consultor baje al lodazal que el cliente tiene en su casa, se remangue y empiece a limpiar. El problema es que nuestro trabajo se suele vender por "horas" y por tanto, la cantidad de mierda limpiada es proporcional al presupuesto disponible para limpiar. Por tanto, tanto dinero tanto tiempo y eso lo dedice el cliente, no el consultor.

El otro problema es el escaso valor que dan al conocimiento entregado. Esos papeles que ellos trivializan en esfuerzo, son también horas de trabajo que compran de forma que se ahorran sudor en poder dar solución a problemas. Algo que ya comenté en el post "conocimiento inducido y la pandemia del cut&paste" porque no es lo mismo enfrentarse a un procedimiento desde cero que disponiendo de una plantilla prediseñada para que solo haya que tomar decisiones.
(http://seguridad-de-la-informacion.blogspot.com/2010/11/conocimiento-inducido-y-la-pandemia-del.html).

Obviamente el problema se resuelve cuando se escribe el procedimiento real sobre el sistema real pero de nuevo, eso debe estar en el presupuesto y muchas veces los clientes que se quejan, suelen ser los que no estan dispuestos a pagar tanto esfuerzo.

Anónimo dijo...

Totalmente de acuerdo con los 3.

1.- X horas = Y euros
2.- Quien implanta un SGSI, implanta un sistema de gestión y unos niveles de riesgo/seguridad que la empresa decide. Y por regla general quien quiere un SGSI para certificarse, quiere un sello y no gastarse ni un duro en seguridad, ni en conocimiento al respecto

Para bien o para mal, llevo unos año diciendo que las subvenciones son una lacra para las ISOs, pero benditas sean las subvenciones que nos dan de comer.

Es crudo, pero es real

Joseba Enjuto dijo...

Si el problema está en vender la consultoría por horas, quizás habría que ir pensando en desarrollar un nuevo modelo de facturación... Al fin y al cabo, la consultoría no deja de ser un servicio, y cada vez está más extendida la filosofía de facturación de servicios en base a SLAs. ¿Alguien se anima?