Cuando uno se dedica a ser consultor, día a día te vas topando con diferentes tipos de organizaciones y los más variopintos modelos de negocio. Es quizás una de las cosas más bonitas que tiene la consultoría, la variedad de contextos , situaciones y problemas a los que te tienes que enfrentar , lo que hace que cada jornada de trabajo sea un reto continuo que no deja de hacerte aprender. Sin embargo, la sensación común, que se repite en todas las organizaciones, es la necesidad continua de justificar el papel que juega la Seguridad de la Información dentro de las organizaciones del siglo XXI.
Intentando ser autocrítico, trato de dar respuesta al porqué de estas percepciones tratando de buscar qué elementos contribuyen a justificar semejante comportamiento y este post va precisamente de eso. Voy a tratar de reflexionar en voz alta sobre ello comentando los puntos que entiendo son relevantes para que se produzcan estas circunstancias.
1. Modelos de negocio de las organizaciones: Toda organización puede ser vista como un gran proceso que recibe ciertas entradas y genera ciertas salidas. En este sentido, la cadena de valor de la organización viene dada por los procesos de transformación de las materias primas (sean bienes tangibles o intangibles) en resultados económicos. Fruto de la evolución hacia la sociedad de la información y el conocimiento, cada vez son más las organizaciones cuyo modelo de negocio se basa en el procesado de información como materia prima para la entrega de productos que son resultado de aglutinar o procesar dicha Información. Pensemos en las empresas de servicios TI como Google, Facebook, Linkedin o en fabricantes de productos software como Microsoft o Apple. En estos casos, el valor está asociado al coste de producción o construcción de servicios y muy vinculado con la propiedad intelectual necesaria para poderlos elaborar.
Primera dificultad para nuestra mente en relación a juzgar el valor de la información.
2. Modelo económico del valor: Vivimos en una sociedad capitalista donde el valor de las cosas debe ser materializado por el criterio monetario de su coste o de su estimación económica. Por tanto, la percepción del valor de las cosas utiliza un criterio basado en el precio o valor económico de los objetos. Ante la pregunta de qué vale más, si un servidor o un llavero USB, nuestro instinto juzgara que será más valioso el objeto más grande o el más complejo. Este modelo instaurado es quizás uno de los factores por los que no se valora de forma adecuada la “propiedad intelectual”, porque seguimos juzgando el precio por la valía de los objetos.
Segunda dificultad de nuestra mente en relación a juzgar el valor de la información.
3. Modelo operativo de las organizaciones: Las organizaciones recurren cada vez más al uso de las Tecnologías de la Información para dar soporte a sus actividades principales o primarias de negocio. Por tanto, el área TI es una actividad secundaria o de soporte según el modelo de valor de la cadena de Porter. Ello significa que existe una dependencia entre las actividades que generan valor y el buen funcionamiento de las piezas necesarias que están por debajo dando soporte a esos procesos productivos. Para las áreas directivas y no técnicas, las herramientas son las diferentes aplicaciones o sistemas como el correo electrónico que son necesarias para su día a día. Dadas sus carencias en conocimientos técnicos no son capaces de pensar en la cantidad de elementos técnicos que deben funcionar correctamente para que ellos no tengan ningún problema. Se abstraen completamente de la infraestructura TI que necesita su organización para poder funcionar. Y esta forma de ver al área técnica ahora se ha consolidado como un área creciente de negocio bajo las siglas "Cloud Computing" que viene a ofrecer un pago por servicios y uso de aplicaciones siendo un tercero el que asume el coste y la gestión de la infraestructura TI.
Tercera dificultad para nuestra mente en relación a valorar la complejidad subyacente que da soporte al tratamiento de la Información.
4. Modelo humano de gestión del miedo: Nuestra mente es un dispositivo esencial para garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que sea capaz de sobrevivir pero bajo un contexto basado en garantizar el alimento y la protección frente a depredadores. Nuestros antecesores tenían como actividades básicas el comer o subsistir y nuestros mecanismos de alerta o detección del peligro están vinculados a hechos físicos visibles, tangibles y sensitivos. Por tanto, nos da miedo aquello que fundamentalmente se produce por situaciones o escenarios de amenaza física como puedan ser terremotos, riadas, explosiones, incendios, etc. ¿Qué pasa entonces con las amenazas sobre la información?. Pensar en miedo ante una situación de hacking informático, un robo de datos o una suplantación de identidad es algo que al ser humano le cuesta bastante sentir. Solo son adecuadamente juzgadas estas situaciones cuando podemos establecer una relación directa causa-efecto entre los siguientes elementos: amenaza, activo, daño, consecuencias económicas o de otra naturaleza. Solo en aquellas situaciones donde tengamos cierta estimación del daño que supone un incidente relacionado con la información podremos sentir miedo y disparar por tanto los mecanismos de gestión del riesgo. Un hecho significativo que puede ilustrar esta cuestión es que muchas de las temáticas de ficción en cine ahondan sobre tramas donde el personaje principal sufre las consecuencias físicas debido a problemas sobre sistemas de información. Quizás el mejor ejemplo de este tipo de películas puedan ser “La jungla de cristal 4” o “Firewall”.
Cuarta dificultad para nuestra mente respecto a la percepción del peligro en amenazas que afectan a la información dado que raramente somos capaces de valorar las consecuencias de un incidente con elementos que generen miedo sobre nuestra supervivencia.
5. Modelo humano de gestión del riesgo: Nuestra mente es un dispositivo esencial en garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que capaz de sobrevivir pero bajo un contexto basado en garantizar la supervivencia física. Por tanto, el elemento esencial a la hora de tomar decisiones está fundamentado en el miedo que es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos. Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:
- La primera es intuitiva, emocional y basada en la experiencia. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.
- La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.
Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional. Por tanto, nuestro cerebro tiende a ignorar los riesgos que son difíciles de comprender o de percibir. Pero eso no hace que las probabilidades de ocurrencia disminuyan sino que simplemente nuestra percepción del riesgo cambie.
Como ejemplo de reflexión pensemos en cualquier organización. En general siempre nos encontramos con unas medidas básicas de seguridad física como son tener puertas y ventanas, disponer de alarmas presenciales, video vigilancia, etc. Si pensamos en los primeros tipos de engaño en relación a la percepción del valor, las organizaciones ya no solo tienen los puntos "físicos" de entrada a sus instalaciones sino que ahora hay medios lógicos de acceso como puede ser la página web, el correo electrónico, las conexiones remotas, etc. ¿Cómo están protegidos esos puntos de acceso a la Organización, de igual forma que los puntos de acceso físico? La respuesta común es que no. Las medidas de protección que nadie discute son aquellas que garantizan el valor tangible de los activos tangibles de las Organizaciones, es decir, sus edificios, sus instalaciones, sus oficinas, todo aquello que tiene un valor económico tangible y fácilmente estimable que justifica la ecuación de la seguridad en relación al coste de la protección y la inversión en prevenir daños.
Sin embargo, en los aspectos de seguridad lógica las cosas no están ni por asomo tan controladas. Quizás será necesario que la evolución se encargue de hacernos aprender a base de malas experiencias para que evolucionemos nuestros miedos con el fin de adecuarlos a las nuevas situaciones y circunstancias del siglo XXI.
Autor: Javier Cao Avellaneda
Fuente: INTECO - Blog de la Seguridad de la Información
No hay comentarios:
Publicar un comentario