Ya comentamos en otro momento que la acumulación de algunas actividades técnicas termina convirtiendo a una persona en responsable o especialista en seguridad informática sin que lo haya pedido o se lo haya propuesto.

A veces las actividades se generan naturalmente, por expansión de plataformas, por profundización de medidas, etc., otras(las menos) llegan como resultado de una decisión organizativa para encarar proyectos no atacados hasta el momento.

 

Pero muchas veces esas actividades llegan sin una planificación previa sino como resultado de la acumulación de errores, malas prácticas, etc.

 

A lo largo de nuestros años de prácticas de asesoramiento nuestros clientes han escuchado siempre una frase común: -No hay invertir tiempo y esfuerzos en sistematizar los efectos, sino en resolver las causas-.

 

Esto es como resultado de que, históricamente, lo que aparece como una falla puntual en un entorno de trabajo genera una reacción y una solución, en general temporaria. La repetición de tal falla convierte a los pasos de resolución del error en sistemáticos y a la gestión de ese error en un proceso mas que se agrega al área técnica u operativa.

 

Terminamos así acumulando tareas improductivas, destinando horas y días a revisión, control sobre control, etc.

 

El caso mas dramático es el que nos ha impuesto la velocidad de entrega de productos al mercado, con su consiguiente plaga de parches periódicos, especialmente pero no excluyentemente, en productos de Microsoft.

Con lo cual, si nos pasamos bajando parches de todos los productos de Microsoft y aplicándolos, seguramente no somos un especialista en seguridad, sino un empleado de Microsoft cuyo sueldo paga la organización en la cual estamos trabajando…

 

Ciertamente, lejos estamos de poder proponer una solución a este mal mundial, pero si estamos alertas de estas situaciones podemos empezar a gestionarlas mas adecuadamente.

 

Convertir a las personas que cargan con las responsabilidades de seguridad informática de reactivos en proactivos es el primer paso.

Existen normas y prácticas(ISO 27000/ITIL-ISO 20000/COBIT), metodologías adecuadas para cada tipo de organización, y productos para automatizar monitoreos, procesos, etc. para  alcanzar este objetivo.

Seccuracy