viernes, 13 de agosto de 2010

SEGURIDAD: DE LA FANTASÍA A LA REALIDAD

Cada vez es más común ver en las series y películas que vemos en la televisión y/o en el cine como se planifican y ejecutan planes para atacar los sistemas de seguridad de empresas y entidades gubernamentales. Vemos en casi todos los casos actores que caracterizan a expertos en sistemas que con agilidad y facilidad increíbles pueden vulnerar a los más sofisticados sistemas de seguridad y causar mucho daño: robos de información, simular ataques nucleares, tomar control de accesos, modificar o robar información, acceder a información privilegiada, y un largo etc. Vemos como los expertos en seguridad de las empresas y/o entidades gubernamentales atacadas pasan muchos apuros para identificar el origen del ataque y como implementan acciones inmediatas para minimizar los efectos de dichos ataques. Otras veces vemos como con desesperación y frustración se rinden ante la realidad de verse superados. Hoy eso que lo veíamos como una fantasía de Hollywood, es una realidad que nos golpea a diario.
Definamos que es Seguridad: son los todas las acciones que de manera coordinada realiza una organización que busca preservar a: las personas, la infraestructura física y la continuidad del negocio.
Se puede dividir la seguridad en la organización en 2 partes: Seguridad Lógica y Seguridad Física. Seguridad Lógica entiéndase como Seguridad de la Información. Seguridad Física entiéndase como el control de accesos a los diferentes recintos de la empresa y seguridad a los principales funcionarios y directivos de la organización.
La realidad es que estos conceptos no son tomados en cuenta al momento de diseñar los planes de seguridad en las empresas. Vemos con mucha preocupación como se pone mucho énfasis en la seguridad en los accesos perimétricos de la empresa, pero se descuida los accesos a áreas críticas de la misma. Vemos como se colocan restricciones para que las personas no puedan grabar información en dispositivos móviles (memorias, discos, USB, etc), pero descuidamos el manejo de la información impresa. Hoy la realidad es que los funcionarios de las organizaciones necesitan accesar a la información de la empresa desde lugares muy remotos con la misma Confidencialidad, Integridad, Disponibilidad y Accesibilidad como si estuviesen físicamente en el mismo edificio. Hoy cuando nuestros clientes cada vez necesitan multimedios virtuales para interactuar con la empresa. Todo esto tiene que tomarse en consideración al momento de pensar en implementar los planes de seguridad.
Hace unas semanas visité al gerente general de una importante empresa quien con mucho orgullo me mostró los nuevos controles biométricos de accesos que su empresa había implementado y la importante inversión que habían realizado. Lo que pasó a continuación fue un claro ejemplo de lo que sucede en nuestra realidad. Gentilmente este señor me acompañó a la salida del edificio y cuando estábamos llegando a la puerta de la calle la persona de recepción accionó el pulsador que ella maneja para abrir la puerta para “facilitarle” la salida a su gerente general. Todos el sistema de seguridad fallaron porque una de las personas que maneja al sistema no tenía claro los procedimientos de seguridad. Si yo hubiese sido un secuestrador o plagiario, no hubiese tenido ningún problema para salir de ese edificio llevándome al gerente general en las narices de los vigilantes a pesar de todos los elementos de seguridad implementados.
La implementación de un sistema de seguridad en una empresa tiene que tomarse con la misma seriedad y dedicación que se toman otros aspectos estratégicos que definirán el rumbo de la empresa en el futuro. El primer paso y que marcará la profundidad y seriedad de la implementación es el involucramiento de la alta dirección de la empresa. Si la más alta autoridad de la organización no toma como suyo y respalda los planes de seguridad a implementarse, seguiremos viendo esfuerzos aislados dentro de las empresas que normalmente son vistos como gastos y no como inversiones.
Esto nos lleva a un nuevo concepto en el tema de seguridad: la Convergencia. Este concepto revolucionará la concepción de seguridad en las empresas. Se trata de centrar todos los esfuerzos de seguridad: lógica y física en una sola cabeza responsable que lidere todos los planes de implementación, los procedimientos de contingencias, gestiones de monitoreo, capacitación y concientización de todo el personal, reducción de vulnerabilidades, simulación de incursiones, etc. Es decir que en el más alto comité de la organización debe participar activamente un funcionario que tenga la autoridad delegada por el Directorio de garantizar la seguridad física de las personas, la seguridad de infraestructura y la garantizar la continuidad del negocio.
Esto que puede sonar muy romántico para algunos, es el futuro de las organizaciones. Este concepto de Convergencia ya viene siendo trabajado e implementado por las grandes organizaciones en Europa y Norte América y paulatinamente se está haciendo una realidad en nuestras latitudes. Vemos que ya existen hace algunos años Directores de Seguridad que son los responsables de gestionar temas que antes estaban dispersos en la organización: Seguridad de la Información, Seguridad Física, Oficina de Cumplimiento Legal y Regulatorio, Competencia Desleal, Lucha contra el Fraude, etc.
Esta realidad obliga a los consultores y proveedores de sistema de seguridad a mirar este mercado con otros ojos y buscar de adecuar nuestras ofertas a este mercado cambiante. Mientras sigamos viendo la seguridad como un aspecto accesorio a la empresa y no como algo medular, o sigamos haciendo planteamientos cortoplacistas y enfocados en aspectos limitados de la seguridad, no sumaremos a que las organizaciones interioricen la nueva realidad que ya está en medio nuestro. Quien lo haga primero ganará una parte importante de este negocio que cada vez será más importante.