En la antigüedad, la cultura judía tenía una tradición religiosa bastante severa. Consistía en castigar con el apedreamiento a los hijos contumaces y reveldes, seguramente con el fin de desarrollar el respeto a la autoridad, con el fin de no sembrar el mal ejemplo, o quizás con ambas.
Esta semana que transcurrió, una noticia acerca de un estudio en USA/Reino Unido citaba así “Los administradores de TI no respetan la información privilegiada de la empresa”. ¿Un problema serio no es así? Aunque difícil de creer, en el título de esa noticia se halla la respuesta al problema planteado en ella. Si le anhela ser un buen líder de seguridad, medite unos minutos, lo citado a continuación:
Si un general se muestra demasiado indulgente frente a sus hombres, pero es incapaz de utilizarlos; si los quiere, pero no puede conseguir que sus órdenes sean cumplidas; si las tropas están desordenadas y no puede hacerse con ellas; pueden compararse a los niños mimados y son inúteles… Si solamente se manifiesta la benevolencia, las tropas se hacen como niños arrogantes y son inutilizables por esta razón.
Capítulo X, El arte de la guerra (Sun Tzu)
Para los filósofos, el respeto es una actitud que nace con el reconocimiento del valor de una persona. En ese sentido, la raíz de un administrador de TI que no respeta la información de su empleador es “la inexistencia del reconocimiento del valor de su empleador”, más precisamente de su superior. Ese reconocimiento no se produce sólo, debe ser sembrado. En consecuencia, la solución del problema está en provocar el respeto desde el inicio. Un general y un gerente saben que el respeto no emana por sí solo. Así, una compañía con un pobre liderazgo gerencial hacia el área de TI, sufrirá desastrosos desenlaces con su seguridad.
Por esa razón, en la actualidad la seguridad de la información ya no puede ser vista más como un simple problema de con cuánta tecnología de seguridad cuento (eso lo saben todos los que leen este blog, precisamente por eso lo leen).
Al leer lo que se escribió en un antiguo libro de guerra, citado arriba, puede ver que la seguridad es mas bien un problema de cuán bien nuestros gerentes guían el negocio, En consecuencia, el líder de negocios que continúa delegando ciegamente la seguridad a los responsables de seguridad es un INCONSECUENTE, vale decir, no le importa la compañía (ni tampoco su carrera al ascenso). El delegarla no manifiesta per se la siembra del respeto la patrimonio de la compañía, incluso hasta puede significar el consentimiento directo del egoísta desarrollo personal.
Un buen gerente debe entender que la seguridad llegará a ser un nuevo activo de creciente e inmesurable valor en su compañía, del que vivirá y confiará por el resto de años, para proteger la Confidencialidad (de la información estratégica, de la privacidad de sus clientes), la Integridad (de la información entregada, procesada y recibida), y la Disponibilidad (de la información oportuna y ubicúa).
Por ello, la solución al problema de la seguridad debe desarrollarse y revisarse desde la mesa del comité de directorio de los viernes, con rapidez y precisión, es decir ahora. Aunque en principio esto representa una tremenda (y sin duda desgastante) oportunidad para los administradores y jefes de seguridad TI o de la información con vocación gerencial, no es necesario esperar a tanto para reducir esa brecha. Una posible forma es utilizar las buenas (del gobierno de la seguridad de la información) propuestas de instituciones como ISACA e ITGI, para generar honestos parámetros de medición de la seguridad la información de la compañía que los líderes empresariales puedan manejar, y así convertir la seguridad en su nueva agenda laboral, profesional y personal.
Más información: Si desea conocer el estudio, que al respecto ha desarrollado JACKSECURITY, asista a la próxima charla de seguridad de ISACA, Lima – Chapter (24 junio 2009)
JaCkSecurity CTO
Conocimiento, Conciencia y Consultoría
