El mentiroso y el cojo

Tomás Roy es uno de esos expertos en hacerte pensar. Su trabajo como Director de Calidad y Seguridad en una gran organización le hace enfrentarse diariamente a situaciones especialmente complejas y le permite ver el mundo de las TIC desde una perspectiva interesante. Después de estar comentando con él algunos aspectos del Gobierno de la Seguridad, redactó este artículo que me gusto tanto que le pedí permiso para publicarlo aquí como el primer artículo contribuido de Gobierno de las TIC.

------------------------------------------------------

Axioma 1: En general, el Negocio y los Sistemas de Gestión deberían estar soportados e implantados de forma tal que la toma de decisiones se realice al nivel más bajo posible.

Axioma 2: La toma de decisiones debe garantizar que las TIC proporcionen valor al Negocio, resultando un alineamiento estratégico entre el Negocio y las TIC.

Axioma 3: Se pilla antes a un mentiroso que a un cojo.

Los tres axiomas anteriores están bien redactados y el último de ellos está avalado por la sabiduría popular, por lo que se le presupone haber superado una larga fase de “testing” que garantiza su validación y verificación.

Según ISACA, organismo impulsor del IT Governance Institute y de Val IT, en el “IT Governance Global Status Report—2006” encargado a PwC y realizado mediante entrevistas a 695 C-suite (CIO y CEO) en 22 países, podemos observar cómo los principales problemas son los Incidentes Operacionales, la falta de recursos IT adecuados y los costes incurridos en TI.

Curiosamente seguridad y cumplimiento no preocupan probablemente debido a las inversiones ya realizadas.

Si combinamos esta apreciación con un modelo de madurez como el Staged Maturity Model de KPMG (que se focaliza en la posición de las TIC dentro de la cadena de valor diferenciando entre 5 niveles), podemos ver que claramente las TIC se encuentran situadas actualmente en el foco de menor valor: tenemos problemas con la operación, dependemos de recursos IT difíciles de encontrar y esto provoca que incurramos en elevados costes por la falta de eficiencia y el elevado precio de los servicios (provocados por la carencia de recursos especializados).

Luego, de los tres axiomas, observamos que sólo el tercero es verdadero: No podemos hablar de alineamiento con el negocio de las TIC ni de Gobierno o toma de decisiones como un hecho, sino como mucho como un objetivo a cumplir.

Y en la seguridad, ¡peor!. Como se desprende del mismo informe, no damos problemas, solo miedo.

Es decir, fracasamos totalmente en definir cómo la función de la Seguridad de la Información contribuye a ganar Negocio, aunque su culpabilidad en las pérdidas del mismo están muy bien identificadas.

Con un panorama como el descrito la única esperanza que tiene la Seguridad es la severidad del impacto y el medio irracional que se deriva.

De esta forma, necesitaremos definir una ciencia en si misma: Seguridad de Informaciones, con un negocio propio y con su Gobierno de la Seguridad y su toma de decisiones, y sus herramientas. Cuanto peor lo hagamos mejor, ya que cada ataque demostrará cómo son de malos de fuera y cuán necesarios somos los que sabemos cómo defendernos.

Ahora bien… si el tercer axioma es verdadero, entonces tenemos de 2 a 5 años de vida profesional interesante. Nos descubrirán, y acabaran poniendo a otro “amuleto de la suerte” más económico.

Pues va a ser que no.

Recuerden por qué les eligieron para hacer sus trabajos: por sus capacidades. Hace 15 años, para gestionar un router y un servidor se necesitaba a un telecos. Hace 25 años, para programar se necesitaba un ingeniero o informático (si existía). Hoy no, está claro. Y mañana … menos.

Pero aún nos queda una cosa: nuestra capacidad para entender problemas complejos.

Si hoy nos seleccionaran por nuestras capacidades… que nos pedirían?

• Que resolviéramos el problema de la gestión de los servicios TIC
• Que optimizáramos sus costes y tiempos y garantizáramos el valor de la inversión
• Que definiéramos un marco de gestión de riesgo global
• Que realizáramos planes de negocio reales
• Que alineáramos las TIC al negocio, que permitiéramos el Gobierno TIC.
• Que entendiéramos la arquitectura de la empresa: del negocio, de las informaciones, de las aplicaciones y de la tecnología.

El único problema es que nuestras empresas no saben lo que tienen que pedir o que nos lo pueden pedir a nosotros. Trabajemos con el Negocio para hacer realidad el axioma 1 y 2 e intentemos que nuestras herramientas también lo hagan.

La Seguridad de las Informaciones tiene un pie en el negocio, se especializa en proteger lo que tiene valor, tenemos una visión global. Propongámonos como impulsores de la madurez del negocio y de las TIC; que entiendan que hay interlocutores capaces al otro lado, hablemos de CAPEX, OPEX y de lo que haga falta.

No es la situación ideal sustituir las funciones del negocio, iremos cojos durante una temporada, hasta que tire el negocio por si mismo.

Pero como dice el tercer axioma, se coge antes al mentiroso que al cojo