Algunas veces por desconocimiento. Otras por simplicidad. Algunas otras por hacer las cosas rápidamente, pero la mayoría por desconfianza, nos ponemos trabas a nosotros mismos en lo que respecta a la seguridad informática. Y es que lo que para un experto en seguridad puede ser complicado de diseñar y configurar, se hace un mundo para el cliente final.
Para mí hay dos conceptos a tratar en cada situación a estudiar, de hecho, casi es extrapolable a cualquier entorno informático: comunicaciones, sistemas, desarrollo… Una es la relación con el cliente, y otro la situación en la que se encuentra el mismo.
En lo referente a la situación en la que se encuentra, casi nunca trabajamos en el entorno ideal. No disponemos muchas veces de tiempo, de capacidad de reacción, de ventana de disponibilidad para trastear, o incluso de una maqueta de pruebas previa a la intervención. De hecho, casi nunca se tiene toda la información necesaria para poder trabajar, e incluso tenemos que buscar por nuestra cuenta casi todo lo que necesitemos para poder empezar. En este campo poco podemos hacer, es un trabajo de concienciación a todos los niveles, que aunque parece que se va cambiando poco a poco, no depende enteramente de nosotros, pues requiere de un esfuerzo adicional que poca gente está dispuesta a hacer.
Pero lo que respecta al trato con el cliente, podemos hacer más de lo que creemos. Somos capaces de pasar horas auditando, valorando cada situación, estudiando las diferentes posibilidades y buscando una solución final adecuada, pero no de pensar ni 5 minutos en cómo se lo vamos a presentar al cliente. Es casi tan importante saber hacer entender lo que tratamos de conseguir, como el mero hecho de desarrollarlo.
Debemos saber entender lo que realmente se necesita en cada momento, valorando la seguridad para el propio cliente, como el uso que vaya tener en el día a día. Hemos de situarnos en su posición, y desarrollar una solución que entienda, y sea factible a su modo de ver. Que no le complique su trabajo día a día, pero que cumpla con la seguridad necesaria. Quizá de nada le sirva a una empresa de patatas, tener la seguridad de un búnker militar. Esto es primordial para desarrollar una solución, pero también para poder hacerle entender con sus propias palabras, el porqué de la misma, y el por qué ha de emplear recursos, tiempo o dinero en aplicarla.
Nuestra faena no acaba con la implementación de la seguridad. Tenemos que ser capaces de hacer entender a nuestro cliente, que lo que estamos haciendo es ante todo para proteger sus datos. Para garantizar que nadie se apropia de su información sensible. Que aunque añadamos un poco de complejidad a su día a día, siempre el mínimo posible, va a poder tener la confianza de que limitaremos las posibles fugas de datos. Explicándoselo con sus propias palabras, y con su propia mentalidad. Y esto, es harto difícil.
De nada me sirve utilizar cuatro protocolos de seguridad indescifrables, o utilizar casos que nada tienen que ver con el suyo. Tampoco explicarle que me he hecho pasar por un hacker que trabaja desde Uganda para poder acceder a su clave de wifi. Tenemos que hablar su idioma, y valorar sus propias inquietudes.
No nos engañemos, aún tenemos que hacer mucha concienciación. Debemos exponer bien nuestros argumentos, hacer demostraciones, enseñar porque necesitan dicha seguridad. Mostrarles que los amigos de lo ajeno, no llevan antifaz y una bolsa con el símbolo del dólar impreso, muchas veces están detrás de un ordenador. Hacerles entender que no sólo es necesario poner una alarma en las puertas de las empresas, sino asegurar que ponemos sus datos a salvo. En definitiva, ganarnos su confianza. Y hacer eso, es lo más difícil a lo que nos enfrentaremos.
Completamente de acuerdo.
Tu entrada me ha hecho recordar un chiste que recibí vía e-mail hace más de quince años sobre la brecha entre técnicos y clientes. Tiene o tenía que ver más con calidad que con seguridad pero viene igualmente al caso:
Un hombre está haciendo un vuelo en un globo aerostático. En un momento dado se desorienta y decide descender para buscar ayuda. Estabiliza el globo a unos seis metros del suelo, pregunta a la primera persona que ve y tiene lugar el siguiente diálogo:
– Por favor, ¿podría decirme usted dónde me encuentro?
– Se encuentra usted suspendido en un globo aerostático a unos seis metros del suelo.
– Usted es informático, ¿verdad?
– Sí, ¿cómo lo ha sabido?
– Porque me ha dado una respuesta técnicamente correcta pero que no me sirve para nada.
– Usted es usuario, ¿verdad?
– Sí, ¿en qué lo ha notado?
– Muy fácil: usted no sabe dónde está ni hacia dónde dirigirse; ni siquiera sabe muy bien cómo llegó hasta aquí. Usted está igual de perdido que antes de conocerme sólo que ahora piensa que el culpable soy yo.
SI SE EXPLICAN LAS SITUACIONES CON PALABRAS SENCILLAS SEGURAMENTE CUALQUIER PERSONA ENTIENDE EL MENSAJE
Genial el chiste Alberto. Toda la razón.
Selyba me recuerda, a una anecdota de una entrevista de trabajo, que uno de los “jefazos” una multinacional, le pidió a un “posible nuevo” project manager que le explicase el porqué de usar Linux en sus sistemas. El entrevistador no tenía ni idea de informática y durante más de media hora le iba preguntando por todo lo que trataba de explicarle. Al acabar la entrevista, le dijo, “Esto es lo más díficil que vas a tener que hacer en casi cualquier trabajo. Explicar algo claro y complejo para ti, a alguién que no tiene ni idea”.
Que buen Post, me gusta. Me agrada.
El artículo habla sobre algo que normalmente se olvida, así que me gusta :)
Excelente el chiste, ilustra perfectamente la falta de entendimiento que muchas veces se produce.