De la candidez a la segurcracia

Según la Real Academia Española de la lengua:

-cracia.
(Del gr. -κρατία, de la raíz de κράτος, fuerza).
1. elem. compos. Indica dominio o poder. Bancocracia, fisiocracia

Partiendo de la definición anterior, en primer lugar, definimos “segurcracia” como un modelo de gestión en el que, por encima del resto, predominan y prevalecen los aspectos básicos de la seguridad de la información en sus tres vertientes: disponibilidad, integridad y confidencialidad.

De todos es sabido que la seguridad de la información ha ido evolucionado de forma constante desde tiempo atrás. Para nada vamos a exponer ni descubrir está evolución, sirva únicamente para contextualizar esta reflexión.

Las medidas, que tiempo atrás se aplicaban a lo que hoy en día equivaldrían al concepto de seguridad de la información, se limitaban prácticamente a controlar de forma severa el acceso a una enorme sala en la que se ubicaba un cacharro inmenso repleto de bombillas y cables. A medida que todo evolucionaba, las necesidades, las prestaciones, la accesibilidad, el mercado, etc., el ámbito de la seguridad de la información fue ampliándose a lo que en día de hoy conocemos.

En la actualidad, en concreto allí donde preocupan estas cuestiones, la “lucha” se centra en alcanzar el máximo equilibrio entre seguridad y operatividad, esto se traduce en que la seguridad no condiciona en gran medida la solución de todo proceso, funcionalidad, operativa, etc. En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participación en la definición de soluciones. Básicamente se constituye como una línea de trabajo vertical (muy centrada en temas técnicos) y no transversal a toda la organización.

Obviamente hay excepciones y en determinados casos la estrategia se basa en la seguridad (en una entidad financiera especialmente, PERO con diferencia está centrada únicamente en canales como internet, banca telefónica, etc.). En definitiva, desde una visión pragmática, aún queda mucho trayecto para que la seguridad tenga voz y voto en cualquier órgano de decisión, tanto en el día a día como en grandes foros estratégicos de la organización.

Pensar durante 2 minutos cuantas reuniones, para tratar temas de carácter funcional, operativo, etc., se realizan a diario en vuestros respectivos trabajos en las que por regla general también asista alguien que pueda aportar implicaciones en términos de seguridad de todo tipo (legales, técnicas, operativas, etc.). Haberlas haylas! pero, enfatizo, ¿es por norma general y para toda clase de cuestiones?

Desde aquí queremos proyectar nuestra reflexión sobre la relevancia de lo que vendría a ser la “segurcracia” (ver definición). A priori, suena algo muy rígido, duro, etc. pero en el fondo la idea es muy simple y consiste en transmitir que la seguridad se convierta en un factor (de importante peso dadas las repercusiones que puede tener) a considerar en toda decisión operativa, estratégica, funcional, etc. de cualquier ámbito de la organización.

Hoy en día, unicamente encontramos como aplicación práctica (con salvedades) lo que sería la aplicación de un sistema de gestión basado en la norma ISO 27001. No obstante, nuestra particular interpretación es que la organización debería regirse por completo bajo esta norma. Las normas restantes (sin ánimo de ofender) como la 9001 Calidad, la 14001 Ambiental, etc. quedarían supeditadas a ésta.

Para finalizar, ¿creéis que llegará el día en que realmente tengamos que adoptar un modelo “segurcrático”? Por un lado puede estar muy bien desde el punto de vista profesional ;-), pero por otro lado, también implica que todo irá a peor (ataques mejor elaborados, amenazas nisiquera imaginadas hoy en día, riesgos mayores, etc.).

CITA DEL DIA: "La seguridad únicamente existe en un estado de inconsciencia"

No hay comentarios: