Una de las experiencias más paradójicas que hemos tenido en
nuestro ejercicio consultores fue cuando una empresa nos pidió apoyo para ayudares
con su sistema de gestión de la seguridad de la información ISO 27001. Al solicitarles
una cita personal, se nos informó que no se podía hacer por políticas seguridad,
cuando solicítanos una dirección de correo se nos informó que tampoco no
podrían suministrarnos esa información y mucho menos el número del teléfono
celular del responsable de la seguridad de la información: no pudimos conocer
su necesidad por lo que no hicimos una oferta.
Parece que la frase “son políticas de seguridad de la
información” se convierte en la explicación para la inacción.
A muchos también les
habrá pasado que cuando llegan nuevos a una organización se les informa que
está prohibido el uso de redes sociales por “políticas de seguridad de la
información”, pero sabemos que en esta época el trabajo colaborativo es algo esencial
y que cortarlo implica el riesgo de
quedar fuera del mercado. Hemos sido testigos de que, muchas veces, estás políticas, en
verdad, no están montadas para la seguridad de la información, sino por el
temor de los empresarios de que el trabajador pierda tiempo en las redes
sociales o escuchando música o en juegos o pornografía o fútbol… malos trabajadores siembre ha habido, si se desconfía de su competencia hay que tomar
medidas: o desarrollar nuevas habilidades o despedirlos, pero no implantar
medidas de seguridad de la información peligrosas para la supervivencia: la
vida de una empresa está en el movimiento.
Por otro lado, fuimos testigos de primera mano cuando a uno
de nuestros clientes fue hackeado por una exempleada, que no quedó contenta con
su salida de la organización (meses antes la habían despedido con justa causa):
atacó los correos, redes sociales, página web de la empresa… cuando se es
amenazado por alguien que se desconoce (al comienzo se ignoraba quien era), la
paranoia toma lugar, y saca de los individuos demonios increíbles. El miedo
puede hacer que las acciones para eliminar la fuente que lo origina sean
desesperadas y en su mayoría equivocadas. Una empresa no se puede gestionar
desde el miedo.
Estamos, pues, entre dos polos: un control férreo que nos aislé
y una falta de control que nos ponga en una situación muy grave de vulneración.
¿Por dónde comenzar a resolver esta situación?
Sabemos que todo costo que no dé valor al producto o servicio
es ineficiencia pura, en mundo donde el precio es el rey, eso se debería evitar
a toda costa. Una buena forma de resolver esta encrucijada es que a cada acción
de seguridad de la información que estemos planificando tomar, nos preguntemos: ¿esta acción le agrega valor al
servicio o producto? Y si la respuesta es un no contundente, quiere decir que
estamos en el polo cerrado de la seguridad.
En la famosa serie de Netflix Black Mirrow se nos muestra un
mundo de avances tecnológicos que superan la imaginación, pero también cierto
precio que hay que pagar por esos avances… desde la invención de la rueda, que
más tarde traería la consecuencia de que no hiciéramos el ejercicio que requiere
nuestro cuerpo, disparando muchas enfermedades… hasta cada uno de los
avances tecnológicos que se nos presenta en la serie con consecuencias muy
fuertes: hay que entender lo que pasa y buscar un justo medio.
Los dejamos con este video sobre nuestra misión más
importante como humanos: el movimiento. Jorge Drexler
