Hace unas semanas estuve en las X Jornadas SID, organizadas desde el Ministerio de Defensa; aparte de charlas más o menos curiosas -la valoración global de las jornadas para mí fue bastante positiva-, tenía un especial interés por una mesa redonda que cerraba -justo antes de la clausura oficial- las jornadas y cuyo título era “Convergencia de las seguridades”.
Para ser sincero, quedé un poco defraudado con esta mesa. Hace ya unos cuantos añitos que empezamos a hablar de convergencia por estos lares, tanto en proyectos en los que estuvimos trabajando como incluso en este mismo blog, pero mi impresión a nivel general es que hemos avanzado poco o nada en la materia (viendo la mesa redonda, podría haberse celebrado casi de forma idéntica en 2006 o 2007). Seguimos teniendo, con algunas excepciones, muchos casos de una convergencia only available for Powerpoint: queda muy bien para escribir un libro o para hablar con los amigos, pero en la práctica cada seguridad se la guisa y se la come, como se suele decir, un grupo diferente con poca o ninguna relación establecida formalmente. Ojo, no quiero decir que las empresas que participaban en la mesa redonda estén en dicha situación -no las conozco a ese nivel-, sino simplemente que de la teoría a la práctica suele haber un mundo.
¿Por qué seguimos, años después, todavía así? La comunidad de seguridad en España parece que poco a poco va adoptando posturas convergentes (sin ir más lejos, recientemente el capítulo ISACA de la Comunidad Valenciana ha firmado un acuerdo de colaboración con AVADISE, la Asociación Valenciana de Directores de Seguridad), aunque deberíamos plantearnos la velocidad de estas iniciativas. La formación del personal de seguridad sigue siendo un punto débil, con un peso poco representativo de la protección de la información y de la gestión unificada en los cursos de Dirección de Seguridad (aunque esto también parece cambiar poco a poco), y también con un peso insignificante de seguridad física u organizativa en muchos cursos focalizdos en Seguridad de la Información. Nuestros gobernantes y legisladores también parecen “converger” a su ritmo (este es tema para otro post), y la Ley de Protección de Infraestructuras críticas puede ser un buen ejemplo de ello…
Avanzamos poco a poco. Demasiado poco a poco. Una lentitud que a veces desespera. Pero si hay algo que desespera más que la lentitud ajena es la lentitud propia: los directores de seguridad, responsables de seguridad, CSO, CISO o como narices nos llamen en cada caso avanzamos también a paso de tortuga. Porque tenemos mucho trabajo y nos limitamos al run the business, no al change the business (vamos, que nos contentamos con sobrevivir -lo urgente-, nada de mejorar -lo importante-). Porque nos pueden quitar una parcelita de poder que nos viene muy bien y en la que estamos muy cómodos. Porque para qué voy a buscarme trabajo extra que encima me puede hasta perjudicar. Por el motivo que sea, eso de la convergencia queda muy bien para decirlo pero no tanto para llevarlo a la práctica: como algunos médicos, damos excelentes consejos a los que nos escuchan (“no fumes”) pero nos quitamos la bata y hacemos lo que nos viene en gana (“¿tienes fuego?”).
Sinceramente, creo que esto es pan para hoy y hambre para mañana (es más, ni siquiera pan para hoy, sólo hambre para mañana). Si pensamos que porque nosotros estemos mirándonos el ombligo nada va a cambiar a nuestro alrededor, mal vamos. Especialmente en seguridad. Si no tomamos la iniciativa pueden suceder dos cosas: o la tomará otro en nuestro lugar (y eso no nos gusta, ¿verdad? :) o todo lo que nos rodea -proveedores, competencia, legislación- acabará arrastrándonos, para mal o para bien. Los que trabajamos en esto debemos liderar la convergencia de la seguridad en este país, cada uno a su nivel, o mal nos va a ir antes o después. Si alguien cree que en estos tiempos se puede ofrecer seguridad aislado en un bunker y sin contacto alguno con el exterior, creo que se equivoca… Si no colaboramos, compartimos experiencias prácticas (para teorías ya tenemos muchos libros), intercambiamos información, etc. difícilmente mejoraremos, y eso a la larga -o a la corta- nos perjudica a todos.
Para acabar, me llamó mucho la atención una pregunta de los amigos de SIC a los participantes en la mesa: ¿cuál es el perfil ideal para “liderar” la convergencia en una organización, el asociado a la seguridad clásica o el asociado a la seguridad más tecnológica? Ninguno de los participantes contestó de forma clara -algo que también me llamó la atención, para qué negarlo-, e incluso miembros del público hicieron alusión a la idoneidad del perfil militar, tanto por el foro en el que nos encontrábamos como porque en algunas de las empresas grandes en las que se habla de convergencia los Directores de Seguridad provienen de este ámbito: MAPFRE, ONO…
En mi cartera llevo el carné del Colegio de Ingenieros en Informática de la Comunidad Valenciana y la tarjeta de Director de Seguridad expedida por el Ministerio del Interior; obviamente no voy a romper ninguno de estos documentos. Creo, y por supuesto esto es mi opinión, obviamente discutible, que no existe un perfil tipo para gestionar de forma unificada la seguridad de una organización; no se trata de una guerra en la que ganen los Directores de Seguridad “clásicos”, con sus 3G, ni los Directores de Seguridad de la Información, focalizados sólo en la protección de esta última. No estamos ante un CSO vs. CISO, ni nada parecido: se trata más bien de personas capaces de liderar la convergencia, con una visión amplia de la seguridad y con una formación adecuada. Que provengan de la seguridad clásica o de la seguridad tecnológica es puramente anecdótico: conozco compañeros en ambos grupos perfectamente capaces de gestionar ambas seguridades -y las que se pongan por delante-, y lamentablemente conozco también compañeros en ambos grupos incapaces de ver más allá de la seguridad lógica o de la porra y la pistola. Son las personas las que deben hacer el trabajo, no los colectivos a los que pertenecen.
Muy bueno Toni.
Gran reflexión.
Muy bueno Toni.
Sobre el perfil, posiblemente dependera del tamaño de la empresa, en una grande y multinacional, podemos definirlo por lo que debe hacer,
* ser capaz de gestionar y liderar equipos de especialistas de muy alto nivel, *debe ser capaz de tener una visión global de la compañia y del comjunto de sus procesos, activos y actividades,
*debe ser capaz de ir incardinando en ellos ( en esos procesos y actividades) criterios y estamdares de seguridad,
* debe ser capaz de interlocutar adecuadamente con el rsto de areas corporativas,
* debe ser capaz de elevarse sobre el dia a dia ( el run the business que citabas) y planifciar a medio plazo
* Ser capaz de gestionar crisis …etc, etc…
Quien es capaz de eso, pues basicamente un gestor de alto nivel, acostumbrado a dirigir equipos y asumir responsabilidades
A que corresponde , no se, pero tengo claro que el titulo de DS del ministerio del interior, por el mismo, no capacita en absoluto para esa labor.
Labor para la que tampoco se esta capacitado por tener una larga carrera en el area de investigación criminal, el CSO de una empresa, no es el especialista en llevar a cabo investigaciones, ni en parar a hackers, es un especialista en organización, planificación y dirección.
Posiblemente por eso, porque no haya ese perfil en el area de seguridad de muchas de las actuales empresas y lo que hay son perfiles de especialistas, ya sea en investigación criminal o en firewall o antivirus , la convergencia no avance, mas que en el plano intelectual, donde ya es indiscutida
Un fuerte abrazo y mi mas sincera enhorabuena por el post
Hola Guillermo
Muchas gracias por participar :) Completamente de acuerdo contigo; el perfil que se busca para liderar cualquier iniciativa convergente debe ser, ante todo, un buen gestor. Ni la habilitación como Director de Seguridad, ni ninguna otra me atrevería a decir, capacitan para gestionar de forma unificada y correcta. Creo que la experiencia, y sobre todo la visión a medio/largo plazo y las ganas de algunas personas, son el catalizador para conseguirlo… como dices, no buscamos especialistas en algo concreto -si además lo son, perfecto-, sino Directores de Seguridad con algo más que una TIP :)
Un abrazo,
Toni