Seguridad: ¿gasto o inversión?

Ni que decir tiene que todos los que nos dedicamos al ámbito de la seguridad tenemos clara la respuesta a esta pregunta que de hecho, es retórica, por no decir estúpida (si ha respondido A en vez de B, antes de ofenderse siga leyendo por favor). Veamos otra pregunta: ¿de quién es culpa que determinadas personas en puestos de decisión en las organizaciones vean la seguridad como un gasto más que como una inversión, o al menos como una inversión aplazable hasta el infinito y más allá? Esta pregunta es igualmente retórica e igualmente estúpida, aunque no se me ofendan ahora los profesionales de la seguridad (o antes de hacerlo, lean…)

El problema es el siguiente: ¿por qué hablamos de inyección SQL, cuando no de SQL-Injection, en vez de hablar de obtener información de una base de datos a través de la Web? ¿Por qué hablamos de hacking ético o de auditorias de seguridad en vez de hablar de planes que permitan a las empresas seguir trabajando lo antes posible después de un incidente grave en su organización? ¿Que no es lo mismo? Disculpen pero sí, es lo mismito. Porque al final de lo que se trata es de mejorar la seguridad de las organizaciones, y es nuestra responsabilidad, y de nadie más, acercar estos conceptos al lenguaje de la humanidad; y éste no es C, ni scripting, ni usa NESSUS para detectar vulnerabilidades en nuestro lenguaje, ni Nagios.

¿Es responsabilidad del neófito en seguridad entender los beneficios de la seguridad de la información junto con toda la terminología técnica asociada? Obviamente no. Todos los tecnólogos tenemos una tendencia natural a utilizar un lenguaje que a nosotros nos puede parecer normal, siendo inexcusablemente erróneo para nuestro interlocutor, pero como me dijo el otro día un compañero, los tecnólogos hablamos español, los directivos griego y los financieros arameo, y esa es una difícil mezcla como para entendernos.

El hacking ético “mola mazo”, y prácticamente todo responsable TIC entiende el concepto, comparte la necesidad e incluso estaría encantado de abordar estas cuestiones mañana mismo (eso sí, en el mundo de Huxley, que por feliz, dispone de recursos infinitos, tanto humanos como económicos). Pero como en la mayoría de los casos los puestos de decisión no suelen coincidir en última instancia con los puestos TIC, es nuestra responsabilidad adaptar nuestro lenguaje y la definición de nuestros servicios profesionales al lenguaje de la persona que te escucha directa o indirectamente, sea este español, griego o arameo. Y si quién escucha no decide, tendrá que contarlo después a quien sí decide, por lo que estas segundas partes, aunque indirectamente, escuchan.

Para acabar, ¿quieren un ejemplo de abuso de lenguaje tecnológico no adecuado? Fácil, retrocedan esta entrada y vean cuantas veces he dicho “TIC” sin explicar qué leches es eso de “TIC”. Todos los que se han sorprendido y/o no han caído en la cuenta, es que necesitan revisar su lenguaje para acercarlo al del resto de personas que no saben (ni tienen por qué saber) que Internet está ubicado en ordenadores de todo el mundo que, en esencia, son como el que tienen en su casa para bucear por la propia red. Y por cierto, TIC significa “Tecnologías de la Información y las Comunicaciones”.

Saludos cordiales y, solo por contradecirme una vez más y parafraseando a otro compañero:

:wq!