Aprendiendo del vecino

Imagino que a todos nosotros nos han enseñado que cuando tenemos que abordar un nuevo proyecto por primera vez, cuando tenemos que hacer algo que no hemos hecho nunca o cuando queremos mejorar un proceso -o lo que sea- debemos fijarnos y aprender de otros que lo hayan hecho antes. Y si nadie lo ha hecho antes, debemos aprender de los que han hecho cosas parecidas en otros ámbitos que no tengan nada que ver con el nuestro. Y si esto tampoco existe, pues ya nos vamos a I+D+i.

Particularizando para el campo de la seguridad lógica, a mí personalmente me gusta mucho fijarme en los compañeros de la seguridad física -con sus pros y sus contras- a la hora de abordar proyectos que no he hecho jamás. Desde luego, en campos como los modelos de negocio de seguridad gestionada o la gestión de incidentes nos llevan años de ventaja (a otro nivel y con otros problemas, pero años de ventaja), así como en temas legislativos, relación con FFCCSE y mil cosas más. Entonces, ¿por qué no tratamos de aprender de los profesionales que trabajan en este campo?

Sin querer generalizar, a los tecnólogos nos cuesta mucho darnos cuenta de que podemos aprender algo de gente que no sabe informática o telecomunicaciones más alla del nivel usuario (de hecho, para los técnicos la palabra «usuario» tiene connotaciones negativas ;). Por tanto, es impensable que nos planteemos los puntos que tienen en común la gestión de incidentes tecnológicos y la protección de personas -que los tienen, y muchos- o que nos fijemos en los modelos de colaboración o la regulación existentes en seguridad privada y los apliquemos en protección de la información, por poner unos ejemplos. Si lo hiciéramos, cada uno en su ámbito, podríamos aprender de los demás y mejorar nuestro trabajo… pero claro, ¿qué nos puede enseñar alguien que no sabe hablar en ensamblador? :)

Fijémonos en los que saben de nuestro campo de trabajo o en los que hacen cosas parecidas y apliquémoslas en nuestro día a día; seguramente de Bruce Schneier podremos aprender mucho, pero también podemos hacerlo de un policía que apatrulla la ciudad, de un guardia civil destinado en cualquier puesto de Cuenca o del vigilante de seguridad de un banco, aunque no tengan ni idea de tecnología. A fin de cuentas, nos cansamos de repetir que los delitos tecnológicos, sin ir más lejos, son equivalentes a los delitos tradicionales pero ejecutados con otros medios… y los ejemplos que he puesto antes sin duda saben mucho de delitos, aparte de ser probablemente más accesibles que Schneier. Y también nos cansamos de repetir todo aquello de la convergencia de la seguridad, la protección integral y demás…

Por supuesto, no todo lo que viene del ámbito de la seguridad física es bueno ni aprovechable; el mayor problema (IMHO) es el inmovilismo de muchos profesionales, desde personal de seguridad a FFCCSE pasando por legisladores, que una vez han logrado algo se dedican a defenderlo a toda cosa durante años -muchos- pensando que el mundo se paró en el instante en que ellos escribieron la Biblia. Señores, las cosas cambian y, sobre todo, se mejoran; no pueden ustedes dedicarse a argumentar -al menos fuera de El Club de la Comedia- que el phishing no es un problema de seguridad o que algo que no se proteja con una pistola no merece ser protegido, y tampoco pueden aferrarse con uñas y dientes a leyes de hace dos décadas sin plantearse si pueden cambiarse. Hay vida después de los ochenta :)

Trackbacks

  1. […] This post was mentioned on Twitter by Security Art Work, Mario J Inga Cahuana. Mario J Inga Cahuana said: RT @Securityartwork: Los que no saben ensamblador también tienen algo que enseñar, por Toni Villalón: http://bit.ly/exStjS […]