Después de unos cuantos años de experiencia en distintos entornos, organizaciones, etc. nos ha dado por recopilar una serie de síntomas, indicios, etc. mediante los cuales se puede apreciar o sospechar si la seguridad de la información es o no es importante, relevante, estratégica, etc. en una organización. En definitiva, de forma empírica nos ayuda a tener una idea del nivel de madurez de ésta. Estas son algunas vivencias, argumentaciones, etc. que hemos padecido en vivo y en directo. Algunas son simples anécdotas y otras te hacen llegar a cuestionar la «profesión» elegida: 

• Por suerte, hay una reunión planificada sobre determinado tema de seguridad desde hace más de 20 días. Curiosamente, dos días antes se replanifica por incompatibilidad de agenda. Uummmm huele a que alguien considera que esto de la seguridad no es tan importante. Siempre hay otra patata caliente .... Por lo general somos la reunión comodín que se mueve cuando conviene.
• Puesta en marcha de una nueva aplicación. Como no podía ser de otra manera el equipo de seguridad se entera de casualidad. Obviamente se detectan determinadas carencias de seguridad e incluso de incumplimiento legal. ¿ Participar durante la fase de análisis, desarrollo, pruebas, etc. ? ja ja ja ja
• Comunicados/procedimientos internos en los que NO se reflejan ni se han consensuado aspectos importantes relativos a la seguridad/confidencialidad. Generalmente nos enteramos al mismo tiempo que el resto de la organización.
• Falta de transversalidad absoluta. En el mejor de los casos sólo nos relacionan con temas informáticos.
• Incidentes de seguridad que ni tan siquiera son comunicados al equipo de seguridad. Por el contrario, cuando han habido consecuencias relevantes, en las cuales poco o nada ha tenido que ver el equipo de seguridad, es a éste a quien se le piden explicaciones y responsabilidades.
• Si la LOPD, siendo un requerimiento legal, no es tomada en consideración poco más hay que hablar sobre la preocupación que la seguridad causa en la organización.
• Inexistencia de una figura o persona de referencia en el ámbito de la seguridad o algo que se le parezca.
• Comprobar como determinadas normas o directrices emanadas de seguridad, son sistemáticamente ignoradas y puestas en duda.
• Continuidad de negocio ? para qué ? a mi no me va a pasar nada. Sois unos paranoicos. Sin comentarios.
• Típicos comentarios, chascarrillos, bromitas, etc. en reuniones, cuando por suerte, alguien de seguridad ha sido invitado. Lo habitual es extrañarse de nuestra presencia.
• Al hilo de lo anterior, nuestra presencia siempre da a pensar que vamos a torpedear la reunión (problemas, impedimentos, un NO a todo, etc.)
• Convocatoria para realizar una auditoría de seguridad de la información. Respuesta: No tenemos tiempo que perder. Menos mal que de vez en cuando alguien está encantado para poder corregir y mejorar en su área de competencia.
• ¿ No hay forma de quitar la ventana esa que solicita la contraseña ?
• Hay un problema informático ! Me aparece un mensaje diciendo que tengo que cambiar la contraseña ! Si llevo nosecuantos años con ella y no me ha dado nunca problemas.....
• Cierta desconsideración hacía nuestro trabajo. Del estilo: «Aparte del antivirus, ¿qué más haces?». Otras personas de la organización que extrañadas nos preguntan que hacemos?

 Os veis reflejados en este tipo de situaciones o similares ? Por un lado esperamos que si (para no ser los únicos) pero por otro lado hay que reconocer que en ocasiones resulta un poco frustrante. No obstante, también hay que reconocer que la situación ha mejorado muy mucho. Bastantes de los ejemplos expuestos son de hace bastante tiempo aunque estoy convencido que en muchas organizaciones siguen siendo aplicables.

CITA DEL DÍA: «La seguridad no hace ganar dinero, evita que se pierda»