Comunicar la importancia de los riesgos de seguridad y la necesidad de invertir en ello ante personas ajenas a la materia no es fácil. Sin embargo, existen algunas tácticas que los directores de seguridad, responsables de seguridad informática o directores de proyectos pueden utilizar para hacerse entender y obtener el favor de los líderes empresariales.
Durante la conferencia Source Boston 2008, un panel formado por ejecutivos, técnicos y consultores de TI debatió los problemas que surgen cuando los profesionales de la seguridad buscan apoyo o financiación para sus proyectos. Hacer entender la amenaza que suponen los bots P2P, los polimorfismos basados en servidor o qué implica la sección 6 del PCI DSS, probablemente no tenga resultado si utiliza una jerga técnica o conocimientos internos para contar su historia, según manifestaron al unísono los ponentes. Pero si explica las cosas en términos que la gente pueda entender fácilmente o de forma que directamente impacten en sus propias funciones, se ampliarán sus oportunidades de éxito.
Demasiado a menudo, los profesionales de la seguridad se olvidan de que otros directivos de unidades no están al día en cuestiones de nuevas amenazas o demandas de conformidad, y utilizan un lenguaje que para la gran mayoría de ejecutivos significa muy poco. Y es que vender un proyecto o pedir más dinero está relacionado con encontrar el modo adecuado de exponer la seguridad a las partes más tradicionales del negocio, según dijeron los expertos.
“No conozco el lenguaje técnico y nunca intentaría entenderlo todo”, afirma Reggie Sommer, miembro de la directiva de varias compañías financieras. “Creo que en términos de riesgos, algunas veces todo es sobre el dinero y otras sobre reputación, pero hay que decir cuál es el riesgo real que podría dañar al negocio. Todo está relacionado con el lenguaje y la comunicación adecuada”.
Además de obtener el soporte organizacional y presupuestario del CEO y otros directivos necesario para seguir adelante, cada vez es más importante que los líderes empresariales contribuyan al proceso de involucrar a todo el personal de la compañía para que esos planes tengan éxito. “No puedes entrar hablando de tecnología. Necesitas cuantificar los riesgos; cada negocio se rige por políticas y esas políticas tienen que venir de la junta directiva”, afirmaba Dennis Devlin, CISO del Brandeis College y anterior CISO de Thompson Corp. “Para tener éxito, necesitamos enseñar a la gente a pensar como nosotros pensamos. Yo me pasé mucho tiempo enseñando a la gente a tomar decisiones informadas de los riesgos, que van más allá de la tecnología. Pones tus miras en algo como la prevención de pérdida de datos, pero para hacer que realmente funcione tiene que ser una directriz del equipo gestor”.
Los consultores de seguridad admitieron que incluso ellos tienen que pelearse a veces para convencer a los directivos de cómo y por qué se debe resolver un problema. Los ejecutivos a menudo asumen que las cuestiones de seguridad pueden enmendarse simplemente dándole la vuelta a un conmutador o instalando un producto en vez de intentar hacer cambios fundamentales en la manera de hacer negocios. Una vez más, la clave para sobrepasar esas barreras es encontrar el público adecuado y asegurarse de que entiende su papel para ayudarle a entender la materia, apuntaba Gene Meltser, arquitecto técnico de Symantec. “Como consultor, veo muchas compañías con serios problemas de seguridad, pero son cosas que no pueden cambiar de forma orgánica; podemos decirles todas las cosas que necesitan hacer pero ese proceso es a menudo bastante complejo”, continúa Meltser. “Estas empresas están normalmente saturadas de regulaciones y cuestiones de cultura corporativa como que cualquier cambio no puede suceder de la noche a la mañana, pero tu mensaje tiene que presentarse de la forma correcta ante la gente más receptiva al cambio”.
Desde su experiencia, el experto en seguridad opina que el mayor planteamiento para ese reto es desarmar los grandes proyectos en componentes más pequeños que puedan ser acometidos de forma incremental durante un corto periodo de tiempo.
Por ultimo, el punto más significativo de la desconexión entre los profesionales de la seguridad y la gente del negocio es pelear para obtener el equilibrio entre las medidas de protección y conformidad y los esfuerzos destinados a incrementar las ventas y la facturación; una situación que los ponentes del panel calificaron de “guerra de poder” constante.
Aceptar el riesgo
No importa lo peligroso que sea lanzar una aplicación empresarial según las medidas de seguridad relacionadas. Los líderes corporativos normalmente están dispuestos a aceptar el riesgo si es una herramienta que consideran que incrementará significativamente sus intereses corporativos. Incluso cuando los ejecutivos bromean sobre el término ROI, que ha pasado del tradicional significado de “retorno de la inversión” (return of investment) a convertirse en “riesgo de encarcelación” (risk of incarceration) por todas las nuevas regulaciones de seguridad y privacidad a las que se somete la empresa, muchos aún están dispuesto a soportar mayores riesgos para cumplir sus objetivos, afirmaron los panelistas. "Al ser una startup del comercio electrónico, estamos viviendo esa Guerra de poder”, explicó John Amaral, arquitecto jefe de Retail Convergence. “Bromeo sobre el riesgo de encarcelación con nuestros directivos cada vez que me los cruzo en el pasillo, pero al mismo tiempo, todos sabemos que debemos incorporar funciones y características externos para atraer a más clientes a nuestra página web”. Y es que el mandato de PCI DSS –estándar desarrollado por las grandes firmas de tarjetas de crédito para proteger la información del consumidor- tiene que estar referenciado en casi cualquier decisión relacionada con las TI que toma la startup de e-commerce. Sin embargo, la compañía no puede empantanarse en intentar cumplir todas las demandas del requerimiento y dejar de crecer en su principal negocio. “Con PCI, la seguridad de los datos de los clientes es una consideración muy importante y nuestro equipo directivo entiende el riesgo, pero también necesitan ver la recompensa”, afirma Amaral. “Algunas veces pedimos más tiempo para hacer algo y no quieren esperar, quieren que los clientes visiten el site”.
17/03/2008 CIO
Via idg.es
No hay comentarios:
Publicar un comentario