Miguel Ángel Navarrete Porta, Director de Seguridad Informática de Caja Madrid
“La seguridad de la información es un factor que potencia la confianza de nuestros clientes”
Miguel Ángel Navarrete es, desde el año 1999, director del departamento de Seguridad Informática de Caja Madrid, dependiente de la dirección de Planificación e Innovación Tecnológica de la entidad. Sus más de veinte años de servicio en el sector financiero, le han permitido conocer en profundidad prácticamente todas las áreas relacionadas con las TI: sistemas, explotación, gestión presupuestaria, recursos y proyectos, metodología, arquitectura y desarrollo de software... Y esa experiencia se proyecta en sus juicios acerca de la gestión de los riesgos tecnológicos. Firme partidario de la certificación contra normas internacionales exigentes, es capaz de sintetizar la concepción que de la protección se tiene en su entidad con simplicidad y un punto de rotundidad: “En nuestra 'casa' –afirma–, construimos la seguridad en conjunto”.

– ¿Qué se entiende en Caja Madrid por seguridad de la información y por seguridad de los sistemas de información tecnológicos que la tratan?

– Ambos conceptos son básicamente lo mismo. El segundo, en mi opinión, no deja de ser desde cierta perspectiva un subconjunto del primero, o si lo prefiere, una derivada técnica. El concepto primario es la información, si bien no puede aplicarse seguridad sólo al contenido sin hacerlo al continente y a las vías por donde fluye.
Pero respondiendo a su pregunta, el objeto de la seguridad de la información es muy sencillo: consiste simplemente en proteger eficientemente y en sintonía con el negocio, los activos y a las personas, y administrar la relación entre ambos, procurando generar valor.
Los que trabajamos directamente en seguridad, sabemos que conseguir esto no resulta sencillo.

– ¿Y cómo enfocan la protección para conseguir estos fines?

– Como es sabido, la seguridad en tanto que no es un producto sino un proceso, no se compra, se gestiona. Y esa gestión se hace sobre un entorno en el que cada nueva ola de tecnología distorsiona los mecanismos de seguridad implantados y en el que es crítico determinar adecuadamente cuándo aplicar una tecnología emergente o una medida de protección determinada. Si lo haces demasiado pronto, pagas un coste extra y si te retrasas puedes deteriorar el nivel de seguridad e incluso perder oportunidades de negocio.
En nuestro caso, y como entidad financiera, la confianza es uno de los valores que ofrecemos a los clientes. Como sabemos, difícil de alcanzar y mantener, y fácil de perder. En consecuencia, la seguridad de la información hay que entenderla aquí como un factor que potencia la confianza. Y esta concepción se integra perfectamente en nuestra filosofía de empresa, y específicamente en lo relativo a la protección de la información de nuestros clientes, activo que consideramos no solamente por imperativo legal, sino por convencimiento y decisión, de protección especial.
Pero, además tiene como fin ayudar a mejorar las soluciones y servicios que ofrecemos, aportando valor y evitando que el hecho de la protección no sea un inhibidor de soluciones, sino lo contrario. El objetivo es claro: que los productos que ofertamos sean más robustos, pero manteniendo la usabilidad.

– ¿Es muy complejo a efectos de protección el sistema de información de Caja Madrid?

– Soy firme partidario de la sencillez. Un sistema de seguridad robusto no necesariamente tiene que ser complejo, aunque hay que reconocer que no resulta fácil mantener el equilibrio seguridad-simplicidad, dada la heterogénea y amplia variedad de soluciones y productos existentes para resolver las diversas amenazas, tanto las clásicas como las emergentes.
Desde el Plan de Seguridad de 1999, hemos seguido la directriz de la simplicidad en la construcción y potenciación de nuestros sistemas de seguridad, y creo poder decir que hemos alcanzado un nivel muy satisfactorio.

– ¿Cuántos millones de contraseñas para autenticación de usuarios están activas en el sistema tecnológico de la entidad?

– Trabajamos con aproximadamente dos millones de clientes en Internet, y cada uno tiene sus contraseñas. A éstas hay que sumar algún millón más por las correspondientes a los usuarios de tarjetas financieras. Y, finalmente, las asociadas a empleados de Caja Madrid. Gracias al proyecto TITAN, en la entidad tenemos, salvo excepciones, una contraseña por persona, y somos aproximadamente 12.500.

– ¿Desde cuándo está establecida la función de seguridad informática en Caja Madrid, y cuáles son los hitos más significativos en su historia hasta encuadrarse en su ámbito actual de dependencia?

– De una u otra forma, desde que se creó lo que inicialmente se llamó Proceso de Datos; pero con una estructura propia, desde finales de los años 80. Yo me incorporé a ella en 1999 coincidiendo con su nueva dependencia de la dirección de Planificación e Innovación Tecnológica desde su ubicación anterior en Producción.
En el ámbito organizativo, este es en sí mismo un hito relevante por lo que significa respecto de la importancia y concienciación en relación con la seguridad. A ello hay que añadir su consideración como departamento en aquel mismo momento con un director al frente, en lugar de ser un equipo con un responsable como se definía previamente, y además, simultáneamente, su estructuración en equipos. Entre otros, estos aspectos revelan parte de la apuesta por la seguridad de la información de la Dirección General de Caja Madrid.
“Hemos iniciado en Caja Madrid un proceso de adaptación que está orientado en última instancia a certificar contra la BS 7799-2 nuestras soluciones en Internet para clientes”


– ¿Cuántos profesionales de la “casa” y externos integran la Dirección de Seguridad Informática, y qué especializaciones u organización interna se ha establecido?

– La responsabilidad de la gestión y de los sistemas de seguridad es exclusiva del departamento, pero todos los empleados del Grupo somos corresponsables en seguridad de la información. Como apoyo a esta idea de corresponsabilidad en la seguridad, en uno de los planes de concienciación desarrollados, hacíamos hincapié en la frase “seguridad somos todos”, como se ve fácil de recordar debido a otros usos, pero que aparte de ser un mecanismo de concienciación, explicaba una filosofía real: que en nuestra casa construimos la seguridad en conjunto.
Desde este enfoque, la respuesta sería entonces que trabajamos en seguridad varios miles, pero es evidente que su pregunta pretende una respuesta más precisa. Y a ello voy: directamente dependen doce empleados de Caja Madrid y 4 externos de forma permanente.
En función de los proyectos en curso nos acompañan temporalmente algunos externos más, cuyo número, hasta el momento, no ha excedido nunca el anterior. Pero aclaro que parte de nuestra operativa de seguridad informática está delegada, es decir, que hay personal, fundamentalmente de Arquitectura y de Producción, que realiza también tareas de protección funcionalmente “propias” de seguridad.
Conviene además aclarar que Desarrollo de Sistemas “fabrica” éstos en seguimiento de los Requisitos de Seguridad para la Construcción, desempeñando un papel muy significativo para la seguridad, y lo hace rigurosamente. Tal vez conozca que somos una de las pocas entidades certificadas en el nivel 2 de CMMi, que como sabe es una metodología que busca y mide la calidad en la construcción de sistemas de información.
En cuanto a la organización interna, en este momento estamos pasando de una estructura que responde a entornos y tecnologías a otra que responde a funciones, es decir, de seguridad en sistemas centrales y en sistemas distribuidos, pasamos a Planes y Política, Ingeniería de seguridad, Administración y Seguimiento y respuesta a Incidentes.
Una estructura por funciones es, en mi opinión, más eficiente en la utilización de los recursos y fija mejor las responsabilidades, lo que debe dar como resultado una mejora del nivel de protección y de servicio. Por el contrario, exige más a los profesionales, que deben tener un abanico de conocimientos muy amplio.

– ¿Qué se espera en Caja Madrid de la Dirección de Seguridad Informática?

– El proceso de seguridad hay que gestionarlo. Así que, desde esta perspectiva, por una parte lo que se espera es que se gestionen correctamente los riesgos, se expliquen en términos comprensibles y se planteen soluciones eficaces, y desde otra, que aporte valor, que sea un facilitador del negocio para enriquecer las soluciones, a fin de hacer posible su existencia con un nivel de riesgo aceptable.

– Por lo que se observa, no es partidario de que sean los profesionales de los departamentos de seguridad informática los que operen directamente los sistemas de seguridad de la entidad.

– En mi opinión, los profesionales de los departamentos de seguridad informática no tienen necesariamente que operar directamente todos los sistemas de seguridad. Es un problema de eficiencia y de capacidades, las cuales no están generalmente –ni tal vez puedan estar sin deterioro de la eficacia–, bajo el paraguas del departamento de seguridad. Si hay quien sabe y puede operar sistemas de forma más experta, es decir, mejor y más seguro, y ello no presenta un riesgo adicional, es allí donde debe residir la tarea.
No obstante, sí soy partidario de la responsabilidad centralizada de la seguridad y de la participación de ésta en todo el ciclo de vida de los sistemas. Operar o no éstos termina siendo lo de menos.

– ¿Qué porcentaje de la inversión en tecnología viene destinando Caja Madrid a seguridad TIC?

– Las inversiones y gastos en seguridad varían anualmente en función de los proyectos que acometemos directamente y los que afronta la unidad de Tecnología, dado que parte del coste se incluye en el desarrollo de sistemas. Luego hay puntas y valles. En líneas generales, nos movemos entre el 2% y el 3% anual dependiendo de lo anterior.
Lo que sí quiero resaltar es que la importancia de la cifra global de inversión incluye y es proporcional al impulso que hacemos y queremos continuar haciendo en los aspectos de seguridad. Y que la inversión prevista en seguridad es satisfactoria y a la vez exigente, dado que nuestros resultados deben justificar el importe invertido.
También merece la pena resaltar lo que dicen los expertos y las encuestas: que los gastos previstos en TI crecerán en los próximos años en el escenario europeo más de un 8% anual hasta 2008 –en España se espera un incremento superior al 10%–, y fundamentalmente que entre las prioridades de asignación del presupuesto sigue estando la seguridad de la información, que ha mostrado una tendencia alcista con respecto a otros conceptos en la distribución presupuestaria, lo que plantea un panorama de nuevo muy interesante y exigente en los próximos años.
“Uno de los cinco grupos técnicos de expertos puestos en marcha para el desarrollo de nuestro Plan tecnológico 2006-2009 se denomina Seguridad y Continuidad de Negocio”
– ¿Cómo realizan en Caja Madrid la planificación de la seguridad para ir consiguiendo sintonizarla con los negocios y actividades?

– Todos tenemos claro el referente, por lo que es fácil alinearse. Viene enmarcado por el Proyecto 2006 que establece objetivos claros y medibles hacia los que todos debemos ir y que entre todos debemos conseguir. Para ello, adicionalmente disponemos de Planes de negocio que identifican diferentes marcos de acción, y en nuestro ámbito aún más cercano el Plan Tecnológico, que se desarrolla con una clara vocación de atención al negocio y en el que se incluyen las necesidades de seguridad de la información.
Además, en la confección de los planes tácticos anuales, las iniciativas de seguridad están incorporadas de forma que “competimos” para su aprobación y dotación presupuestaria con el resto de las necesidades de negocio, desarrollándose únicamente aquellas que superan el proceso selectivo.

– En una orientación a futuro, ¿a qué plan obedecen las acciones en seguridad informática de Caja Madrid?

– Actualmente estamos preparando el Plan Tecnológico 2006-2009 y uno de los 5 grupos técnicos de expertos puestos en marcha para el desarrollo del mismo se denomina Seguridad y Continuidad de Negocio. Este hecho da idea del nivel de integración de la protección TI, y es también un indicador de la importancia que la dirección de tecnología concede a este ámbito. Adicionalmente, desarrollamos planes de seguridad interanuales que potencian y explican en mayor detalle el escenario y los proyectos de seguridad que es preciso abordar.

– De los realizados, ¿qué proyectos de seguridad informática, o en los que la seguridad informática ha ocupado un lugar importante, destacaría?

– Afortunadamente hemos tenido la oportunidad de abordar interesantes iniciativas. Tengo debilidad por algunas, como, por ejemplo, la denominada TITÁN, de gran repercusión interna y que nos ha posicionado en un nivel de seguridad muy significativo. Ya sabe en qué consiste: el uso de la tarjeta de empleado, que además es EMV, para realizar autenticación muy robusta y entrada única de empleados a su entorno de trabajo en el sistema de información de Caja Madrid. El esfuerzo para su desarrollo y despliegue fue, si me permite decirlo, titánico. Además, entrábamos en un mundo nuevo, lo cual alude también a la coincidencia del nombre del proyecto con el de la luna de Saturno, tan de actualidad hoy.
Creo que también procede mencionar la primera acción que realizamos tras la creación del departamento de Seguridad Informática: la elaboración de una política y un cuerpo normativo adaptado al momento, que supuso una sólida base sobre la que desarrollar la arquitectura y mecanismos de seguridad generados a partir de entonces. Este proyecto tuvo otro componente, que consistió en el desarrollo de un plan de concienciación, y que ha sido una buena ayuda en la orientación cultural de los usuarios de la entidad hacia la protección de la información.
Por otra parte, y además de potenciar la protección de nuestra red interna –oficinas y cajeros incluidos–, frente a amenazas y, lógicamente, también los servicios por Internet, hemos finalizado hace algún tiempo el denominado proyecto SGS, Sistema Global de Seguimiento, que nos permite conocer –cuando procede en línea, y si no, en otros tiempos– aquello que hemos decidido que debe de significar una alerta de seguridad, en función de una gradación por importancia. Lo tenemos instrumentado, y disponemos de pantallas gráficas que nos permiten visualizar los resultados por entornos, aplicaciones y servicios de las alertas producidas. El SGS, operativo desde hace un año, incluye un sistema de correlación de los datos que genera una parte muy significativa de los sistemas y aplicaciones de Caja Madrid.
Luego está el frente de la hoy denominada gestión de identidades. Desde hace ya algunos años, Caja Madrid construyó internamente un sistema de gestión de identidades, que en lo referente a los usuarios, alimenta automáticamente los sistemas de control de seguridad desde las bases de datos de Recursos Humanos, gestiona los perfiles y da instrucciones a los sistemas específicos de control de acceso. Este sistema, además, permite a los directivos de Caja Madrid solicitar un usuario o dar permisos de acceso a personal externo que necesite acceder a nuestros sistemas y aplicaciones de forma puntual. Si la solicitud del directivo supera un determinado nivel de riesgo establecido, la concesión de la solicitud queda pendiente del visto bueno de Seguridad.

– ¿Y qué acciones están en curso de realización?

– Tenemos previsto finalizar el proyecto CSI de acceso seguro a los sistemas de la entidad, desde cualquier ubicación, cualquier modalidad de comunicación y a través de Internet. Por otra parte, hemos iniciado un proceso de adaptación orientado en última instancia a certificar nuestras soluciones en Internet para clientes contra la BS 7799-2.

– Interesante. Como sabe, no hay por el momento en España un consenso al respecto de la certificación entre los directores de seguridad de la información.

– Cualquier planteamiento es correcto, y no todos los momentos son oportunos para afrontar los temas, en el supuesto de que se esté de acuerdo con ellos. En lo referente a nuestro caso particular, el trabajo realizado en años pasados nos aconseja emprender acciones para consolidar nuestra situación, contrastar el grado de madurez que hemos alcanzado, verificar nuestras soluciones de protección, medir el nivel de seguridad..., y si efectivamente cumplimos estándares internacionales exigentes, compartir con nuestros clientes cual es nuestra situación e iniciar un nuevo impulso. Caso contrario, continuaremos trabajando para conseguirlo. En esta línea, me gustaría mencionar que recientemente realizamos un proceso de benchmarking con la CECA –en el que participaron unas 25 cajas de ahorro–, soportado en la ISO 17799, y la valoración alcanzada por nuestra entidad fue realmente positiva.
“Este año finalizaremos el proyecto CSI, centrado en el acceso seguro a los sistemas de la entidad, desde cualquier ubicación, cualquier modalidad de comunicación y a traves de internet”
 


– Le veo muy convencido del valor de la certificación contra normas internacionales.

– No me cabe duda: es importante emprender sistemáticamente acciones de consolidación y de contraste. Y en este contexto, la certificación sirve para tener un conocimiento transmisible de que la gestión de la seguridad es acorde con lo que se considera que son las mejores prácticas en el ámbito internacional.
Nosotros trabajamos para el negocio proporcionando soluciones seguras a nuestros clientes, y me parece muy importante el hecho de poder transmitirles que estamos en un nivel internacional certificable y riguroso, ya que, entre otros aspectos, esto apoya la confianza, que, repito, es algo vital en el contexto de los negocios y las actividades en el mundo de las entidades financieras.

– ¿Y qué iniciativas tienen previsto emprender en este año 2005?

– Como digo, antes de imprimir un nuevo impulso, queremos afianzar nuestra posición. En este sentido, nos vamos a enfocar en la consolidación de nuestros sistemas y en la comprobación sistemática de nuestra seguridad.
No obstante ello, tenemos previsto iniciar algún otro proyecto con impacto en los clientes.

– ¿Se llevan bien la seguridad TIC y la externalización?

– No veo por qué no. Actualmente no tenemos externalizada función alguna, pero ello no quiere decir que no sea un escenario inicialmente viable en el futuro. Lo que sí tenemos externalizado son tareas, sobre las que se realiza un seguimiento clásico de encargos formalizados y control de cumplimiento operativo en cantidad, calidad y plazos.

– ¿Qué opina de las herramientas de seguridad del mercado?

– Los fabricantes, diseñadores y vendedores de soluciones, hacen lo que pueden. Probablemente piensan que lo que tienen es muy bueno, y seguramente, en muchos casos lo es. Pero claro, sus productos están enfocados a ciertas áreas de la seguridad y diseñados para una generalidad de compradores. Y lo que es válido para la generalidad no tiene por qué serlo para una organización en concreto. Reconozco que, en líneas generales, sí nos dan trabajo internamente.

– ¿Y qué me dice de su seguridad?

– La alta velocidad del mercado y la complejidad de las soluciones, no favorecen precisamente que las herramientas salgan al mercado sin vulnerabilidades. Pero hay que exigir que hayan completado rigurosos procesos de control de calidad previos. Aún así, yo entiendo que las tengan y que periódicamente aparezcan; lo que no entendería es que no existiesen parches de inmediato para subsanarlas. Aunque hay que reconocer que algunas, tal vez, emiten demasiados.
Obviamente, todos los fabricantes de herramientas tecnológicas de seguridad no son iguales. Los hay que desarrollan sus productos con mucha calidad, y los hay que presentan soluciones muy deficientes, como en otros ámbitos de las TIC, y nuestro trabajo es tener esto en cuenta y saber diferenciar unos de otros.

– ¿Hacen desarrollo interno en materia de seguridad técnica?

– Cuando llevamos a cabo un proyecto, si en el mercado no encontramos herramientas adecuadas y con el nivel de calidad exigible, las fabricamos. No soy enemigo de la construcción interna de soluciones de seguridad específicas, incluso conociendo las dificultades que ello comporta en su ciclo de vida.

– ¿Qué responsabilidades tiene la Dirección de Seguridad Informática en relación con la estrategia de continuidad del sistema de información tecnológico y los servicios que soporta?

– Disponemos de un plan de contingencias y también de centro de respaldo externalizado. La responsabilidad de su mantenimiento y alineamiento es compartida con otros centros de la Unidad de Organización y Sistemas. En este sentido Seguridad Informática es un centro más para su mantenimiento, que es liderado en su aspecto más tecnológico por la Gerencia de Producción.
En un acercamiento más conceptual y en el marco de continuidad de negocio, el liderazgo se sitúa en el área de Planificación e Innovación Tecnológica, centro del que depende Seguridad Informática, siendo de nuevo nuestro papel de responsabilidad compartida.

“Hay quien considera el phishing como una plaga tecnológica moderna, lo que me parece exagerado; sin llegar a tanto, creo que sí procede calificarlo como el timo ‘tecnológico’ más de moda y problemático”

– ¿Cuánto preocupan en Caja Madrid las modalidades de fraude como las de phishing y técnicas de ataque asociadas?

– Hay quien califica el denominado phishing como una plaga tecnológica moderna, lo que me parece exagerado. Pero sin llegar a tanto, si atendemos al número de ataques que se realizan a nivel mundial, al incremento de éstos, y al porcentaje de usuarios que han sido víctimas, al menos sí cabe calificarlo como el timo “tecnológico” más de moda y problemático.
Insisto en que uno de nuestros objetivos prioritarios es potenciar la relación de confianza con nuestros clientes, por lo que nos preocupa cualquier amenaza que pueda afectarles. Asimismo, entendemos que Internet es un medio rápido, cómodo y también seguro para realizar las operaciones bancarias, sobre el que nuestra entidad ha aplicado modernos y eficaces mecanismos de protección, por lo que los clientes deben tener la misma o más confianza en Internet que en cualquier otro canal. Eso sí, deben también tener presente que la responsabilidad de la seguridad es compartida y la custodia de las claves es tarea del cliente, por lo que deben protegerlas y cambiarlas periódicamente, acceder a los servicios desde ubicaciones de confianza, y conocer y seguir las recomendaciones que se explican en los sitios de seguridad de los portales de Internet.

– ¿Algo más?

– Sí, por supuesto. En este marco, entiendo que es interesante trabajar para resolver el problema en tres frentes.
En primer lugar, además de construir los sistemas de forma segura e implantar las medidas de protección disponibles para todos en el mercado, y las específicas de cada entidad, hay que hacer hincapié en la información de seguridad a los clientes, y especialmente sobre la custodia de las claves, y que sepan claramente lo que no va a hacer nunca la entidad, es decir, solicitárselas por cualquier medio.
En segundo lugar, para minimizar el impacto, la entidad debe tener planificada su respuesta y actuar en seguimiento de un protocolo de procedimientos conocido, actualizado y aprobado. El mejor momento para decidir cómo actuar no es precisamente cuando se ha abierto un incidente.
Por último, cuando la situación lo aconseje sobre la base de valoración de riesgos, la tecnología distribuida lo facilite y sin merma de la usabilidad, es conveniente fijar como referente la utilización de la denominada autenticación de doble capa, en la que adicionalmente a las claves puedan incorporarse para ciertos servicios, mecanismos de refuerzo de autenticación como tarjetas inteligentes, tokens, dispositivos biométricos, etc.

– ¿Cuál es hoy su mayor preocupación en tanto que Director de Seguridad Informática de Caja Madrid?

– Ser capaz de captar las necesidades de la entidad, ser capaz de gestionar los riesgos correctamente y ser capaz de diseñar y explicar en términos entendibles las soluciones de seguridad aplicables para obtener mejoras en el nivel de protección y productos más robustos y confiables para nuestros clientes.

– ¿Y cuál es la pregunta que todo director de seguridad informática está deseando que no le hagan?

– Pues una tan llana como breve: ¿y cómo está la seguridad de su empresa? No tiene una contestación seria, ni sencilla, ni breve, si no estás preparado.

– ¿Y ayudaría a contestarla un cuadro de mando?

– Los directores de seguridad informática tenemos que gestionar; para gestionar hay que saber cómo están las cosas, y para eso es necesario medir, pesar, cuantificar. En ese sentido, un cuadro de mando, o un instrumento que nos vaya dando información del estado de la seguridad, en función de los parámetros previamente establecidos, me parece una herramienta necesaria, siempre que no sea pretenciosa. Y lo digo porque he visto iniciativas de cuadro de mando cuya finalidad era poco menos que resolver el mundo. Sus objetivos resultaban tan heterogéneos, tan amplios y, en ocasiones, tan inmedibles, que dudo que puedan proporcionar información de valor.
Nosotros hacemos un informe de gestión periódicamente, que incorpora los parámetros de lo que es nuestro cuadro de mando. No pretendemos que sea el definitivo, pero sí que cumpla con su finalidad: ser útil para la seguridad de Caja Madrid.
Como sabe, hay también iniciativas enfocadas a la comparación entre empresas utilizando parte de los cuadros de mando. Eso está bien, ya que las comparativas son buenas, pero no siempre es posible o útil: ni todos contabilizamos igual las cosas, ni nuestras compañías tienen la misma orientación cultural. Alcanzar homogeneidad en este ámbito es complejo, y si se fuerza la maquinaria, puede llegar a generarse información de muy mala calidad.

– ¿Indicadores automáticos o manuales?

– Creo en los valores que se producen con un método determinado que nos acerque a la objetividad. Sin embargo, en un momento concreto siempre es necesario incorporar indicadores de valoración.
Por ejemplo, no creo que sea realista pensar que la importancia de la confidencialidad o de la integridad pueda ser valorada automáticamente. Así pues, cada cosa en su lugar.

– Una última cuestión: ¿qué perfil profesional debe tener un responsable de seguridad informática de una entidad financiera?

– Debe estar al nivel de exigencia que la seguridad tiene hoy. La seguridad está integrada en el negocio y en la tecnología, luego es bueno que conozca ambos en una profundidad razonable. Pero ante todo, debe saber “subirse al balcón” y ver las cosas de forma que le permita entender y explicarse con los mismos argumentos que el resto.
Seguridad no es una caja cerrada, no es un emisor de miedos, no es un mal necesario, no es un conjunto de productos instalados; seguridad no es tampoco administrar usuarios con mayor o menor habilidad.
Seguridad es tan importante como cualquier otra área de la tecnología, tan necesaria como las demás. Su responsable, por encima de titulaciones, certificados concretos y conocimientos específicos de seguridad, debe entender claramente el negocio para el que trabaja, dado que no tiene sentido la seguridad si no es para potenciar y proteger el negocio; debe poder acceder fluidamente a los órganos de decisión de la tecnología y también a los del propio negocio, debe saber vender y convencer con argumentos objetivos, cuantificables y cercanos al lenguaje del negocio y, por último –aunque no por ello menos importante–, debe poseer sentido común.
Texto: José de la Peña Muñoz
Fotografía: Jesús Garrido
 
<volver