El pensamiento tras los memes de Seguridad Informática
Jose Bernardo Lopez del Rio
Cyber security seasoned and passionate consultant. B.S. in Engineering (Electronics and Communications) and wannabe podcaster.
Si, me confieso, yo también he disfrutado del humor negro de varios memes o chistes gráficos que representan los "dolores de cabeza" que sufre el staff de TI para proteger la información de la empresa a pesar de lo proactivos y curiosos que son los usuarios. Incluso vi uno de estos chistes en un curso que colaboré para organizar la semana pasada.
Sin embargo una conversación con un colega el día de ayer me hizo darme cuenta que también existe mucho, mucho (en serio mucho) material para interpretar al departamento de TI o de Seguridad de la Información como el "Inexperto / Sordo / Testarudo / Tonto / Torpe / Indolente / Déspota / Inserte-aquí-su-calificativo" departamento que detiene al negocio.
La situación en concreto:
Una persona que necesita coordinar la implementación de una red MPLS en más de 30 ciudades del país no podía rastrear el envío de los equipos desde su oficina ya que su departamento de TI tenía filtrado el acceso a fedex.com. Es en serio, no se rían.
En mi trayectoria como profesional de la seguridad de la información, y en especial en mi actual función como Product Manager (por más que LinkedIn quiera cambiarme el título por "Producto Manager") de una marca líder en protección de navegación web he visto como se toman decisiones a la ligera sobre que páginas permitir y cuales censurar en una organización. "Bloquea el Facebook pues nada más pierden el tiempo". ¿En qué momento el departamento de TI fue asignado para mejorar la productividad de los empleados sin consultar a RH u Operaciones las actividades del personal? Recuerdo una ocasión en que al bloquear facebook también bloquearon el uso de "Facebook login" y no podía acceder a codecademy.com que, además de gustarme, era útil en mi trabajo.
En nuestra industria existe una aberración al riesgo que a veces lleva a tomar decisiones incorrectas, pues se convierten en yunques que dificultan el crecimiento del negocio. Debemos entender que el riesgo es parte de hacer negocios, nunca lo vamos a eliminar y nuestro principal reto será valorarlo para que se considere como un factor más en la toma de decisiones (decisiones informadas). Para ponerlo bien claro: cuando estábamos buscando trabajo como especialistas en seguridad de la información no entregamos nuestro CV codificado, encriptado y destruido al departamento de RH para evitar el riesgo de que se conozca nuestra información personal.
¿Recuerdan alguna otra anécdota en la que una decisión de TI hizo menos eficiente la operación de un negocio? Los invito a compartirla en los comentarios.