... LA CULTURA DE SEGURIDAD
Una de las principales preocupaciones que tengo como responsable de Seguridad y Calidad Interna, es poder explicar y hacer comprender en mi entidad el por qué de las decisiones adoptadas en ambos capítulos, para que se entiendan como una mejora y no como un impedimento. En nuestro mundo de las tecnologías de la información, enfocado normalmente a la producción y al negocio, el receptor de un servicio y el elaborador del mismo, exigen cada vez más y necesitan un mínimo de calidad y seguridad, que aseguren una fiabilidad y tranquilidad en el servicio recibido y elaborado respectivamente, pero sin perder la eficiencia y la productividad siempre exigida.
Jordi Solà Sebastià
Responsable del Departamento
de Seguridad y Calidad Interna
Area de Informática
CAIXA PENEDÈS

En una sociedad utópica actualmente, pero a la que no tenemos que renunciar, velar por la seguridad no tendría que ser una prioridad y una necesidad, sencillamente tendría que ser una mejora en la calidad ofrecida, porqué la posible incidencia de seguridad en nuestra organización no sería aprovechada por alguien ajeno a ella. No tendríamos que estar pendientes del mal que alguien interna o externamente pudiera causarnos, podríamos y deberíamos dedicar todos nuestros esfuerzos a mejorar la calidad y el servicio de las propias tecnologías de la información utilizadas por cada organización.
Por desgracia, este no es el mundo que nos ha tocado vivir y la seguridad hoy es una prioridad y una necesidad que se le exige a las Tecnologías de la Información para tener una buena calidad. Por eso, tal como decía al principio, uno de nuestros empeños debe ser explicar el porqué, el cuándo y el cómo de la seguridad; en definitiva, crear una ‘Cultura de la Seguridad’, inculcar unos conocimientos que actualmente son indispensables para poder realizar correctamente el trabajo de las personas que manejan herramientas informáticas y trabajan con datos e información. Debido a que, normalmente, nuestra tarea es relativamente nueva en las organizaciones, entidades o empresas a las que pertenecemos, debemos poner nuestro empeño para conseguir esta culturización comentada.
Yo, que provengo del mundo del desarrollo informático, puedo entender que cualquier decisión tomada para cumplir unos mínimos de seguridad informática puede interpretarse como una traba al trabajo cotidiano de ciertos sectores. Por este motivo, nunca debemos de caer en la tentación de hacer cumplir nuestras directrices sin saber dar una explicación convincente, sin saber escuchar otras opiniones y sin analizar los inconvenientes que se pueden generar, en definitiva sin consensuar la mejor solución para unos problemas que, seguramente, sólo nosotros seremos capaces de prever. Hemos de esforzarnos en explicar muy bien los motivos que nos conducen a marcar unas pautas y unas formas de trabajar.

Política

Esta lenta pero progresiva culturización debe llegar a toda la estructura de la entidad. Empieza por la dirección, que es la que tiene que apoyar sin vacilaciones las políticas a seguir en materia de seguridad informática, política que tiene que estar escrita con claridad y aplicada sin excepciones. A pesar de todo, entiendo que tiene que existir la flexibilidad y capacidad para revisarla cuando sea imprescindible y necesario, para ir adaptándola a los cambios de la propia organización, a la evolución de las tecnologías que el mercado cada día pone a nuestra disposición, y a las nuevas vulnerabilidades que puedan surgir en un mundo cambiante y evolutivo.
No hay que caer en la tentación de hacer cumplir las directrices de seguridad sin saber dar una explicación
convincente, sin saber escuchar otras opiniones y sin analizar los inconvenientes que se pueden generar.
Una vez la política de seguridad está aprobada por la dirección, quienes deben cumplirla son todas las personas y estamentos que configuran la organización. En este momento es cuando hay que saber explicar y hacer comprender el por qué se ha marcado esa política concreta y no otra. Entiendo que para conseguir su cumplimiento, uno de nuestros objetivos profesionales es saber transmitir la información y explicaciones pertinentes. Una persona informada, formada y culturizada, sabrá comprender por qué se dictan ciertas normas y por qué es necesario cumplirlas, y no sólo por el único motivo de: “porque alguien lo ha dicho”, “porque así está escrito”, o peor todavía, “porque sí”.
Ya se ha comentado muchas veces, y concretamente en esta sección por colegas de otras entidades, que la formación es muy importante. Así es y así debe ser; pero esta formación debe llevar a adquirir los conocimientos necesarios para tener cultura de la seguridad. No se trata de saber, como ocurría en la escuela para poder aprobar; lo que tenemos que saber transmitir es el saber para poder razonar, valorar y, en consecuencia, actuar.
La propia cultura de la seguridad nos debe llevar a incrementar bidireccionalmente la transmisión de información entre usuarios y administradores de la seguridad, transmisión de información que nos debe ayudar a encontrar posibles incidencias detectadas en el cotidiano uso de la información y de las tecnologías.
Diferentes normativas, leyes (LOPD, LSSI) y reglamentos definen o intentan definir pautas de uso de la información y de las herramientas que la sustentan. Estas normativas y leyes hacen que nuestro trabajo sirva también para poder cumplirlas, aunque a veces cueste más de lo necesario; pero el simple hecho de tener que cumplirlas, nos puede ayudar a inculcar pautas y procedimientos de trabajo que incrementen en nuestras organizaciones esa sensación de seguridad en la información que diariamente estamos manejando dentro de la propia entidad o con nuestras relaciones con clientes o con otros estamentos públicos o privados.
Tenemos que saber crear sin alarmismos de ningún tipo y sí con absoluta normalidad lo que aquí estoy llamando ‘Cultura de la Seguridad’. Esta es la razón de mi insistencia en la necesidad de tener la paciencia suficiente para explicar, escuchar y consensuar.
Hay una máxima en el mundo ‘casteller’ (torres humanas), afición muy arraigada en las tierras del Penedès y comarcas vecinas, que dice en catalán: “Força, valor, equilibri i seny”, que quiere decir: “Fuerza, valor, equilibrio y sensatez”. Creo que en nuestro trabajo profesional de responsables de seguridad podría ser también la nuestra. Fuerza, para poder implantar las medidas de seguridad necesarias. Valor, para hacer que todos las cumplan.
Equilibrio, para conseguir que estas medidas compaginen la seguridad con la agilidad en el trabajo. Sensatez, para que sean sólo las necesarias para conseguir los objetivos definidos en la política de seguridad.
Lo importante es conseguir que la entidad, en definitiva nuestros compañeros de trabajo y en muchos casos nuestros clientes, vean nuestro trabajo como una ayuda y no como una traba. Se ha dicho muchas veces que la seguridad no aporta negocio, pero también se ha dicho que puede impedir que se pierda. Trabajemos en la línea de la culturización en todos los estamentos de nuestras entidades, el camino puede ser lento pero a la larga, y en mi modesta opinión, creo que es lo adecuado para conseguir nuestros objetivos de mejora de la seguridad y, en consecuencia, de la calidad, sin ningún tipo de imposición.
Documento en PDF
  
<volver