1

“Complejidad” es lo que define a la Seguridad en el 2012

La complejidad no va estar dada sólo por lo técnico, algo que en definitiva se maneja con conocimiento y experiencia. Los dos factores que complicarán el escenario 2012 son casi opuestos: la necesidad de cumplimiento de estándares y el uso por parte de los empleados de los recursos de Internet 2.0 en las redes corporativas.

El primer problema es que existe una resistencia casi natural a adecuarse a estándares de cualquier tipo y más de Seguridad Informática, ya que estos siempre representan algún tipo de restricción. Pero lo que llamamos Compliance se ha transformado en una necesidad de negocio. Es común encontrar empresas que no están bajo ningún marco regulatorio, que están interesadas en adecuar sus sistemas a una norma como ISO 27001 por el hecho de que se lo exigen sus clientes o necesitan acceder a una nueva porción del mercado. Lo que resulta difícil de hacer comprender al personal, sobre todo jerárquico, es que entrar en un marco de Compliance no tiene que representar grandes cambios en la forma de trabajar, si es que realmente los procesos están adecuadamente optimizados; a lo sumo habrá que incorporar algunas tareas adicionales de organización y control. Por supuesto, en la medida que los procesos sean más informales y desprolijos, la brecha con el estado de cumplimiento será mayor, pero en estos casos un proyecto de Compliance puede representar una oportunidad de mejora notable. El desafío es llegar a un estado de Compliance y mantenerlo a pesar de las resistencias de las personas, algo que no puede lograrse sólo con parámetros técnicos, sino con cambios de mentalidad.
El segundo problema es una consecuencia del crecimiento de la Web 2.0, que transformó bastante la cabeza de las personas que acceden a la tecnología, y entre las costumbres que se arraigaron, está la necesidad de estar conectado a todo, todo el tiempo, y comunicar todo casi sin ningún filtro. Entiendo que el concepto de privacidad, refiriéndome a la confidencialidad de la información personal, cambió mucho en el los dos últimos años. Esto es algo real, independientemente de que podamos juzgarlo como positivo o negativo. Uno de los conflictos aparece por el hecho de que la información estratégica o sensible de las empresas continúa teniendo las mismas necesidades de antes de la aparición de Internet. Y el grave problema a resolver en los sistemas de Seguridad Informática de las empresas se basa en que cuando los jóvenes profesionales que crecieron con Internet utilizan los sistemas corporativos para trabajar, pretenden mantener la misma relación con la tecnología que manejan en sus hogares. Obviamente no podemos exponer los sistemas a este nivel de inseguridad, pero tampoco podemos abstraernos de una realidad que incorpora estos elementos al trabajo diario. Cuando a mediados de los ´90 las empresas querían conectar sus redes seguras a Internet, aunque no sabían bien porqué, logramos hacerlo de manera eficiente y con un manejo aceptable de los riesgos. Pero hoy, la incorporación de accesos a Web 2.0 en una empresa plantea riesgos que van más allá de lo técnico, en un escenario donde no es posible cambiar demasiados parámetros culturales sobre el uso de la tecnología como sí pudimos hacer en la década pasada; debido a que, justamente, uno de los principales parámetros actuales es que no deben existir limitaciones.
De todas maneras soy optimista, los profesionales de la Seguridad Informática hemos superado situaciones difíciles como la comercialización de Internet y el Y2K, pero debemos entender que el panorama actual es más complejo.

Por Gustavo Aldegani*

*Consultor Independiente en Seguridad Informática con 25 años de experiencia en Implementación de Sistemas Seguros en empresas, organizaciones militares y de gobierno de Argentina , América Latina y Estados Unidos.
Profesor de la Facultad de Tecnología Informática de la Universidad de Belgrano.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.