Vivencias y experiencias en el mundo culinario me han permitido identificar ciertas similitudes con lo que normalmente enfrentamos en el maravilloso y a veces horroroso mundo de la seguridad de la información. Basado en lo anterior quiero compartir 3 analogías que acercar estos 2 mundos tan diferentes en su objetivo y razón de ser.
La primera idea consiste en que a pesar de contar con recetas que indican cómo hacer los platos, no todos tienen el mismo sabor y esto es muy normal cuando se comparten recetas de deliciosos platos, al intentarlo tal vez por ingredientes, factores ambientales, estado de ánimo de quien cocina, entre otros factores, puede quedar muy diferente a lo que otros prepararon antes. La seguridad en ese aspecto es muy similar si vemos las estrategias, guías y metodologías como esas recetas. Cada organización, entorno, proyecto funciona de maneras diferentes, es por ello que el conjunto de pasos y actividades que se han llevado a cabo en una empresa pueda que no funcione de la misma forma en otra. Entender esto toma tiempo, algunos lo pueden considerar como falta de práctica o conocimientos pero es una realidad que aunque la receta o metodología indique qué se debe hacer, es aquí donde entra la pericia y experiencia del chef/profesional de seguridad para identificar qué cambios debe hacer a la receta/metodología para que tenga un mejor resultado.
Uno de las actividades más interesantes cuando se puede viajar y conocer otras ciudades, países y entornos es ver nuevos ingredientes, nuevos posibles sabores, pero esto también supone un riesgo ya que es probable que no se encuentren los ingredientes usualmente empleados para platos conocidos. En la seguridad es muy similar cuando se cambia de organización o mercado, ya que factores como legislación, regulación, formas de hacer las cosas e incluso la misma percepción del riesgo hace que las reglas del juego cambien y sea necesario redefinir cómo abordar problemas, situaciones y retos. Así como existen alimentos e ingredientes que requieren ciertos cuidados o debe evitarse preparar de alguna manera en particular, como por ejemplo los ingredientes del Falafel, la seguridad es lo mismo, un ejemplo claro puede ser el comprender que para los entornos con sistemas industriales de control tipo SCADA es más importante la disponibilidad que lo que podría serlo para una entidad cuyo objetivo es proteger la integridad de la información. Por consiguiente como conclusión, hay que aprovechar la diversidad de los medios para poder usar lo que está disponible como ingrediente o mecanismos para la preparación de platos o para implementar seguridad de la información.
La segunda analogía nace de una enseñanza de un maestro chef que decía una frase como “La comida rápida no se refiere a que se cocine rápido, se sirve rápido, eso es diferente” y con el paso del tiempo he notado que la seguridad es exactamente igual, no hay seguridad rápida, todo requiere un proceso de preparación, adecuación, cuidado, aplicación de buenas prácticas entre otros temas. Así bien la analogía plantea que “la comida rápida no es rápida de preparar, igual que la seguridad”. Un buen ejemplo para hacer digerible esta analogía consiste en analizar como es el proceso para preparar una apetitosa hamburguesa. Puedes conseguir la carne congelada y colocarla en una parrilla o un sartén, también puedes tomar carne, procesarla, adobarle con condimentos y finalmente colocar en el sartén y esperar que esté en su punto, lo que puede tomar 10 o 15 minutos, eso sumado a la preparación de los acompañamientos y lo que se quiera adicionar, es decir, al final es un proceso de por lo menos 20 o 25 minutos de preparación. Ahora pensemos en un proyecto de implementación de un sistema de control perimetral tipo UTM, la instalación del hardware o software toma un tiempo, luego refinar reglas, permisos de acceso, gestión de registros, entre otras actividades toman tiempo, no es tan sólo sacar de la caja, conectar y ya está la magia, aunque podría hacerse y sería un interesante caso de configuración predeterminada o por defecto que lo haría inseguro, como muchos dispositivos que encontramos en la actualidad o para la analogía, una hamburguesa con mala cocción, mala carne o simplemente, mal sabor.
Quiero finalizar estas ideas con una tercera analogía, que se basa en un concepto muy conocido por todos: “no existe seguridad total, al 100%”, así mismo, hay que decir que no existe el plato perfecto, es por ello que hay que comprender que hay situaciones, entornos, espacios donde por más que se intente no se va a lograr un mayor nivel de protección y que llegar a una seguridad total es un ideal absurdo. Con la comida es igual, para el chef puede que el plato sea una nueva maravilla moderna, sin embargo pueden existir comensales que consideren que no es un buen plato, que el sabor no es tan explosivo o apasionante. Una organización puede enfrentarse a ataques e incluso hasta brechas de seguridad que puedan afectarle, es algo normal en nuestro entorno. En la cocina se pueden enfrentar críticas a platos o preparaciones por que al final es imposible hacer a todas las personas felices y es imposible hacer que todo sea seguro.
Así que ahora cuando cocinen o se encuentren disfrutando de un buen plato en algún restaurante recuerden cuanto puede parecerse este arte culinario a la seguridad y que así como la comida “entra por los sentidos”, hay que seguir buscando cómo hacer que la seguridad entre también por los sentidos de todos los que intervienen en el uso de la información y cómo pueden protegerla.
Buen provecho