Durante el tiempo que he trabajado en seguridad de la información siempre he encontrado que para Colombia y algunos otros países de latinoamérica el concepto de gestionar seguridad de la información se traduce en implementar un SGSI o sistema de gestión de seguridad de la información basado en ISO 27001. Siempre he sido apático de los estándares y recetas mágicas para implementar cosas, dado que no existen tales cosas que den cobertura a tantas organizaciones. Tanto 27001 como su familia de normas y guías asociadas son prueba de ello.
En los tres últimos años he participado en la implementación y puesta en funcionamiento de varios SGSI en organizaciones diferentes, con cultura atípicas y con las particularidades usuarles de cualquier organización, sin embargo, al aplicar la seguridad es claro que cada una es un mundo diferente y que lo que se desarrolló en una difícilmente pueda aplicarse a otras. Creo que en eso todos tenemos mucha claridad. Es por ello que he llegado a la conclusión que modelos estándarizados como 27001, NIST 800-100, ISM3, entre otros, requieren de ser muy adaptados a las organizaciones, perdiendo esa figura de estándar, claro, a menos de que la implementación de seguridad conste en llenarse de documentos que nadie leera, registros que nadie diligenciará y temas complejos que en las charlas de generación de conciencia, nadie pondrá atención.
Un mentor de esos inesperados que se te cruzan en la vida profesional me decía algo muy cierto y es que la seguridad debe de dejar de ser tan absorta en salvar al mundo y más bien debe empezar a mirar que duele y cómo apoyar. Cualquiera diría que es más que obvio, tal vez lo sea, pero donde en estos estándares o normas te dicen que comprendas el negocio, que hagas inmersión en él para entender qué le duele, cosa que no sale de un análisis de riesgos claramente, entender su gente, sus particularidades y generalidades, sus fortalezas y sus debilidades y cómo buscar que la seguridad sea un soporte, un real aliado y no un espia que espera para salir corriendo y gritar riesgo mientras se corre en círculos.
Se tarda tiempo en comprender aquello que un docente explicaba en la especialización de riesgos: Por que odiamos los estándares de cumplimiento y preferimos hacer las cosas a pie.
No digo que ISO 27001 no sirva, mucho menos, ha sido un trabajo fuerte de muchos por varios años, basados en experiencias y esfuerzos, sin embargo, pueda que como punto de partida en la implementación de seguridad, sea una causa de que la seguridad sea vista para mal en las organizaciones. Es por ello que mi conclusión es simple: «Construye la seguridad para tu organización paso a paso, como los bloques de lego, uno a la vez y mirando cuando algo no cuadre para que sea la seguridad esa base sólida que aporta y fortalece al negocio independiente de fierros, personal y muchas otras cosas que van integrandose poco a poco».
Estoy de acuerdo con su apreciación y desde el punto de vista de interventoria no se puede ir mas ni menos de lo que indique la obligación contractual como ejemplo basado en la norma 27001
Es muy cierto, en paises como el nuestro tenemos un afan de copiar los modelos, marcos de referencias, estandares; pero no somos conscientes que nuestro modelo economico, cultura, ingreso promedio, nivel educativo promedio, creencias, topografia, ingenio delictivo, versatibilidad para interpretar las normas no es la misma que en los paises desde donde profesionales muy expertos y con mucha experiencia desarrollan estos elementos. Son sirvan de guias para empresas, organizacionales en todo el mundo pero puden ser mas de las necesidades, como tambien pueden no contemplar casuistica particular latinoamericana, colombiana o gremial.