14 febrero 2012

Seguridad y regimen interno

Supongo que todos los lectores del blog habrán leido (y puede que incluso redactado) más de una Política de Seguridad. En definitiva, no es más que un documento en el que se recogen cuáles son los criterios y directrices de una organización en materia de seguridad. Uno de los ejemplos probablemente más conocidos, para todo aquél que quiera una referencia específica, es el modelo de Política de Seguridad de la Información para la Administración Pública argentina. No obstante, muchas organizaciones suelen optar por planteamientos algo más reducidos y específicos, más enfocados a sus necesidades... y algunas veces, demasiado enfocados. Me explico.

No son ni uno ni dos los casos en los que me he encontrado con políticas y/o normativas de seguridad que prohiben la navegación por sitios de contenido "inapropiado" (lease pornográfico, por ejemplo). Y me pregunto: ¿qué tiene que ver la seguridad con la pornografía? ¿Acaso la visualización de un vídeo o una imagen de contenido pornográfico va a provocar un incidente de seguridad que no se hubiera producido si el contenido de esa imagen o vídeo hubiera sido diferente? Algunos argumentarán que las páginas de contenido pornográfico se utilizan para alojar malware, pero la realidad es que ya hace bastante tiempo que el malware se distribuye de igual forma por páginas de contenido pornográfico que por webs de cualquier otra temática. 

Lo que quiero resaltar con este ejemplo, que me parece el más evidente (aunque igualmente podríamos hablar de webs de juegos online, diarios deportivos o cualquier otro tipo de contenido), es que a veces caemos en el error de mezclar la seguridad de la información con los reglamentos de régimen interno, las directrices sobre seguridad de la información con otras únicamente relacionadas con la productividad o la imagen de marca. Es cierto que en muchos casos ambos mundos se regulan mediante el establecimiento de normas de conducta, pero puede llegar a ser un peligro para la profesión que se utilice la seguridad como excusa para meterse en temas mucho más delicados y, sobre todo, conflictivos.

Con esto no quiero decir que ambos mundos sean totalmente independientes. El uso de redes sociales en el puesto de trabajo, por poner un ejemplo, puede tener tanto implicaciones en términos de seguridad de la información como en términos de productividad, y a la hora de regular la conducta en dichos ámbitos no tiene mucho sentido práctico que existan duplicidades documentales. No obstante, creo que es importante que, más allá de la materialización práctica de las directrices, toda la organización sea consciente de qué ámbitos son responsabilidad de la función de seguridad y cuáles lo son del departamento de recursos humanos, con el fin de que ni haya malentendidos entre el personal ni se acaben produciendo conflictos internos entre las diferentes áreas. Como dice la sabiduría popular, "zapatero, a tus zapatos". Por algo será, no?

No hay comentarios: