Ayer aparecía en la prensa digital una noticia sobre la falta de coordinación entre los diferentes organismos y entes que velan por la seguridad en España, a diferencia de lo que por ejemplo está ocurriendo en Estados Unidos o el Reino Unido, países en los que se ha creado la figura de un mando único, dotado de autoridad y presupuesto, que centralice y marque las líneas de actuación a nivel nacional.
En España, lo que está ocurriendo hasta ahora, es que existen diferentes organismos dirigidos a la respuesta temprana ante incidentes de seguridad informática y la protección de infraestructuras críticas: públicos (CCN-CERT) y privados (La Caixa CSIRT), autonómicos (como el CSIRT-CV, con el que colaboramos activamente) y nacionales (IRIS-CERT, CNPIC —Centro Nacional para la Protección de Infraestructuras Críticas), pero no hay una coordinación formal entre ellos. Incluso las competencias se encuentran repartidas entre tres ministerios: Interior, Industria y Defensa.
Leyendo el artículo me vino a la cabeza de manera natural el paralelismo que existe entre esta situación y la que existe en muchas organizaciones en relación con la gestión de la seguridad de su información, y con la gestión de los incidentes relacionados con la misma.
La gestión de la seguridad en las organizaciones hace tiempo que dejó de ser una cuestión puramente técnica, como apuntaba Toni ayer. Esto no es exclusivamente competencia de IT. Tiene tantas vertientes, y afecta a facetas tan diferentes de las organizaciones, que requiere de una coordinación y una supervisión unificada.
Aún nos sorprendemos gratamente cuando nos encontramos con organizaciones en las que se han definido unidades o comités interdepartamentales encargados de coordinar y marcar las políticas, las normativas y los procedimientos operativos relacionados con la gestión de la seguridad. Lo habitual es encontrar que existe una gran sensibilidad y preocupación al respecto en los departamentos de IT, pero por ejemplo el Departamento Legal muestra un desconocimiento inverosímil sobre la legislación de aplicación relacionada con la seguridad (¡a veces incluso con la LOPD!). Pero es que además, el departamento de TI “no es nadie” para decirle al departamento financiero, por ejemplo, como debe gestionar sus archivos, o a Compras qué cláusulas debe incluir en los contratos con terceros. Y además anda por ahí Mantenimiento, que lleva el tema de las cámaras de vigilancia, o supervisa los sistemas de control de acceso físico, y Calidad que define los procedimientos (más de una vez nos hemos encontrado procedimientos modélicos en documentos de seguridad o en SGSIs que no tienen nada que ver con los que ha elaborado o tiene implantados IT).
En resumen, que modestamente creo que, al igual que ocurre a nivel nacional con la coordinación en materia de ciberseguridad, aún hay mucho camino por andar.
Comparto completamente la reflexión. Parece que nuestra cultura solamente nos lleva a ver los problemas cuando ya los estamos sufriendo. El dicho de “la letra con sangre entra” se hace real en el día a día. El corto plazo importa siempre más que el largo plazo aun cuando ello haga que en años futuros corra peligro la propia continuidad del negocio. Todo es “Pan para hoy pero hambre para mañana”. Por suerte la gravedad de los incidentes todavía no tiene un alto coste o impacto para el negocio pero el futuro no pinta mejor. Ahora si se funde un servidor se pueden perder “documentos ofimáticos” pero en el futuro podría pasar que “volara la facturación”. ¿Le importará igual al Financiero la seguridad de la información entonces de lo que le preocupa ahora? Puede que si o puede que no. Lo que está claro es que si no se trabaja por una “cultura de la seguridad”, la letra entrará pero con sangre.
Totalmente Javier. Hay, en general, una visión muy cortoplazista, y en este país somos muy dados a buscar soluciones a los problemas cuando ya se han presentado, después de lamentarnos todos por no haberlo hecho antes. Y si a esa falta de prevención y de concienciación le añadimos la falta de coordinación y la dispersión de responsabilidades por las diferentes vertientes que tiene la gestión de la seguridad…Pero bueno, como bien dices, esperemos que la cultura de la seguridad vaya calando en las organizaciones antes de que sea “demasiado tarde”.