Sapsiwai - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Transmitiendo la urgencia de seguridad

Muchos programas académicos fallan a la hora de enseñar a los alumnos cómo pararse frente a los responsables del presupuesto y venderles la necesidad de la seguridad en la empresa.

Durante la última semana de octubre, la Comisión Nacional de Seguridad organizó la Semana Nacional de Ciberseguridad, a la cual tuve oportunidad de asistir. De entre las charlas que ahí se llevaron a cabo, una llamó mi atención y es sobre la cual les quiero comentar.

En un panel de discusión, en donde había representantes de instituciones educativas en México que tienen Maestrías de Seguridad de la Información o programas/diplomados de este tema en sus programas de estudio, un representante de la industria les transmitió una preocupación.

El comentario giraba en torno a que los alumnos que tienen una formación en seguridad de la información, si bien tienen dominio técnico sobre temas de seguridad informática, carecían de las habilidades para transmitir riesgos, vender proyectos de seguridad y, en general, no sabían cómo transmitir la urgencia en estos temas a la alta dirección.

De los programas que he llegado a conocer en Maestrías y Diplomados, efectivamente en muy pocos se trata este tema, o se toca sin llegar al punto medular. Ciertamente varios de los programas se enfocan en la parte técnica de seguridad informática y alguno que otro tema administrativo. Pero muchos fallan a la hora de enseñar a los alumnos cómo pararse frente a los responsables del presupuesto y venderles la necesidad de contar con una herramienta, tener a más personal dedicado a la seguridad o la relevancia de tener una configuración segura en la infraestructura pero que puede no ser popular entre los usuarios.

En las organizaciones hay una lucha casi diaria entre los intereses de la seguridad y los de la operación. "No revisen estos sistemas porque son críticos", "Desarrollar aplicaciones seguras retrasa los tiempos de entrega", "No tenemos tiempo para atender los hallazgos de seguridad", "Eso no lo veo como riesgo", "Al parchar el aplicativo podría dejar de funcionar, mejor dejémoslo así", "Cambiar la contraseña significaría cambiar el desarrollo y otras cosas que desconocemos, lo que causaría falla en el servicio"…

¿Cómo se defiende a la seguridad ante argumentos de operación? ¿Cómo se demuestra el riesgo al que está expuesta la organización si no se sigue una acción? ¿Cómo se muestra el beneficio de una herramienta y que vale la pena invertir en ella? Al parecer estos temas se aprenden sobre la marcha, a prueba y error.

Pero tal vez más importante: ¿cómo dejamos de hablarle a la alta dirección en términos técnicos y empezamos a hablar el lenguaje de impacto al negocio y consecuencias a la operación y reputación?

A veces, cuando los de seguridad informática me envían un reporte, tengo que estar tachando términos, sustituir frases y eliminar párrafos enteros que no hacen sentido a quien no está metido en esto de la seguridad, pero que tiene el poder de autorizar presupuesto o permitir un cambio en la infraestructura a favor de la seguridad. O cuando escucho a los de seguridad ofrecer un producto, explicar un riesgo o por qué no hay riesgo, me imagino que si yo no estuviera familiarizado con estos temas de seguridad, sinceramente entendería la mitad de lo que tratan de expresar.

Y ese es un problema que no solo tienen los alumnos, sino los profesionales que nos dedicamos a esto. Por un lado, es importante que quienes sean responsables de los programas académicos de cursos, Maestrías o Diplomados, tomen en cuenta esta necesidad y dejen de lado la noción de que la formación técnica es la única que importa. Sus alumnos dominarán cuestiones técnicas, pero en el campo de trabajo los jefes no entienden de lo que hablan, y no es su culpa, es de quien no sabe expresarse.

Y para los que estamos ya metidos en estos temas de seguridad en organizaciones, es importante dejar de usar términos conocidos solo en seguridad y creer que únicamente así aparentamos conocer y dominar sobre este tema (si no digo "cross site scripting" me creerán un ignorante). Y es importante empezar a pensar en cómo trasmitir riesgos y la urgencia en estos temas de seguridad informática a la alta dirección.

Este artículo se actualizó por última vez en noviembre 2015

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close