Una lección no entendida en seguridad de la información

Desde mis épocas de estudiante, vi muchos casos de compañeros que si bien, habiendo estudiado para el examen, mostraban que habían aprendido la lección, pero en la práctica, demostraban que no la habían entendido, lo cual para todo fin, era equivalente en cierta forma, a no haberla aprendido.

Hoy, 32 años después del sismo del 85, veo que hubo una lección que si bien, aparentemente habíamos aprendido, todavía hay empresas que realmente no entendieron, y aunque la afectación de edificios, no fue tan alta como en aquella ocasión, y que gracias a el manejo de servicios por medio de MPS(1) y al uso de servicios en la nube, la seguridad de la información no fue comprometida entre las empresas que han adoptado esta modalidad de manejo de procesos de la información.

Sin embargo, he tenido conocimiento de bastantes empresas y organismos, que al considerar la seguridad de la información como un gasto superfluo e innecesario, vieron comprometida la continuidad del negocio, y hasta por increíble que parezca, incluso organismos de gran tamaño que no solo no han adoptado al día de hoy, prácticas que se volvieron comunes en la industria después de 1985, y que en una función mal entendida de disminución de costos, no solo mantuvieron toda su operación centralizada, sino que además, nunca consideraron crear un site en espejo, y para rematar el disparo en su propio pie, mantenían los respaldos de su información, dentro del mismo recinto que alberga su operación. La gran mayoría de estos órganos, localizados ahora en edificios afectados y a tres semanas después del sismo, no han logrado todavía levantar sus servicios más básicos de manera satisfactoria, y estarán condenados a pasar intentando resolver sus problemas de información y comunicaciones en el mediano plazo, y en el mejor de los casos, quedaran debilitados y relegados a intentar recuperar la operatividad en lugar de buscar la ventaja tecnológica.

Pero… ¿Por qué no entendieron la lección? La respuesta es que los proyectos de seguridad de la información, suelen ser costosos, y sin un aparente retorno de inversión visible, por tanto, difíciles de justificar ante el consejo y mas difíciles de que sean aprobados, Y a esto se suma, que en muchas compañías, la posición del CIO (2) es ocupada por personas con muy escasa experiencia, improvisados que incluso, en algunos casos, ni siquiera son profesionales de las tecnologías de la información y comunicaciones, que no cuentan con una visión estratégica desarrollada de manera correcta, ni con los conceptos de administración de proyectos o de administración de riesgo, personas que ignoran los marcos de mejores practicas y en muchos casos. ignoran hasta los conceptos mas básicos, Son CIOs que o no supieron justificar el proyecto adecuadamente, o que inclusive, no lo tenían ni siquiera contemplado ya que ignoraban la existencia del riesgo y por tal motivo, pusieron en peligro la operación de su empleador y se expusieron a perder uno de los recursos más valiosos de cualquier organismo, la información.

La lección queda una vez más para aprender, y quizá esta vez, para entender, es cierto que los servicios de un profesional son costosos, pero los de un improvisado, terminan siendo caros. Mientras que el profesional hace lo que sabe debe hacerse, el improvisado, hace lo que el cree que debería hacerse.

_______________________________________

(1) Managed Service Provider, Modalidad de Outsourcing que puede funcionar como proveedor o como bróker para ofrecer, por medio de contratos de nivel de servicio, las funciones de un área de TIC a diversas empresas conforme a los servicios consumidos por estas y disminuyendo los costos de operación al distribuirlos entre diversos consumidores. Los servicios más utilizados, suelen ser conectividad y ancho de banda, monitoreo de redes, seguridad, virtualización y recuperación de desastres, también pueden incluir, almacenamiento, computo de escritorio, movilidad, mesa de ayuda y soporte técnico.

(2) Chief Information Officer. Responsable de los sistemas de tecnologías de la información de la empresa a nivel de procesos y desde el punto de vista de la planificación. El CIO analiza qué beneficios puede sacar la empresa de las nuevas tecnologías, identificar cuales le interesan más a la compañía y evaluar su funcionamiento. Se centra en la mejorar la eficiencia de los procesos internos con el fin de garantizar una comunicación efectiva y mantener la organización funcionando de manera eficiente y productiva