Hace tiempo leí un articulo muy interesante de SecurityArtWork, que trata sobre lo difícil (y frustrante) que es dar a entender lo que en realidad hacemos los profesionales de seguridad de la información a cualquier persona, porque incluso si se lo comentas a la gente de informática o a la gente de seguridad física, ellos se confunden de los términos.
De acuerdo con ese artículo y tomando en cuenta una experiencia que tuve en una reunión de trabajo hace poco, encontré en símil entre el salmón y los profesionales de seguridad de la información, ya que ambos parecen ir contra la corriente en sus respectivos entornos, el pez en los ríos y nosotros en las organizaciones.
Entonces, me pregunto ¿cómo podemos manejar el desconocimiento de terceros de los temas de seguridad de la información? y el peor de los casos es cuando estas personas creen saber del área, los procesos, metodologías y estándares ¿cómo podemos manejar la frustración que generar esto? cuando te hablan de seguridad informática y en realidad haces seguridad de la información o cuando te hablan de planes de contingencia cuando en realidad estas avocando los esfuerzos a implantar un sistema de gestión de continuidad de negocio.
En este punto algunos o muchos de los lectores estarán pensando, “pero, ¿cual es el problema? solo son términos” y probablemente tengan razón, sin embargo, a lo que a mi respecta siempre me ha gustado llamar las cosas por sus nombres, además de que el que esta familiarizado con esta terminología sabe que no son lo mismo ni se tratan igual.
Es como el caso de los mecánicos dentales, a ellos no puedes decirles “¡Ah! tu trabajo es hacer ‘planchas’ para la boca” cuando en realidad ellos hacen prótesis dentales (y te corrigen de inmediato). También tenemos el caso de los que trabajan con el sistema de escape de los carros, cuando nosotros, como clientes, vamos y le decimos “Vengo a cambiar el tubo de escape de mi carro” ellos nos corrigen rápidamente alegando que lo que hay que cambiar o reparar es el silenciador, la cola, el resonador, el intermedio o el bajante.
Entonces, ¿por qué los que estamos en seguridad de al información debemos permitir que empleen mal la terminología utilizada en nuestra área? ¿Que se refieran a reglas del firewall como políticas de seguridad perimetral? Claro, mucho tendrán la respuesta mágica, lo que debemos hacer es educar al personal de nuestra organización.
Desde mi punto de vista estoy de acuerdo, la cosa se complica cuando ya haz dado una buena cantidad de capacitaciones y sigues viendo que las personas continúan, de una forma arraigada, con el mismo paradigma y los que lo han vivido saben que esto lo va agotando a uno como persona.
Pero ¡esperen! la situación se pone mucho peor si en el equipo de trabajo de tu compañía tenemos profesionales de informática, ya que muchos de ellos creen o piensan que, debido a que vieron una materia en la universidad o su tesis estuvo relacionada con “algo” de seguridad, ya se creen expertos en el área (¡Atención! la gran mayoría de profesionales de seguridad de la información vienen de la informática, pero estos se han especializado en el área). No me mal entiendan, uno nunca termina de aprender y menos en áreas como estas, uno siempre debe estar abierto a opiniones, sugerencias, comentarios y recomendaciones que te den, eso incluye hasta al personal de limpieza (de ellos también se puede aprender de seguridad de la información), la cuestión es que cuando escuchas los planteamientos de alguien y sabemos por todas las fuentes “habidas y por haber” de que no es así, entonces entras en conflictos con los miembros del equipo.
La recomendación que les puedo dar a mis colegas es que practiquen mucho la paciencia, ya que como los salmones, no todos logran llegar al final porque ceden al cansancio o perecen ante algunos de los peligros que se enfrentan.
Para los que no saben como es la vida del Salmón, pueden ver un resumen interesante aquí.
Y tu ¿ya te comieron los osos o sigues camino a tu objetivo? Deja tus comentarios.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.