miércoles, 19 de enero de 2011

Cambio de Armarios: Auditoría de Seguridad

En los departamentos TIC, y en el ámbito de la seguridad de la información, podemos decir que actualmente se cumplen las condiciones para “hacer cambio de armarios”. Saber dónde estamos, optimizar los recursos disponibles con la inversión mínima y planificar el futuro. 


Hay días de invierno que no invitan a salir de casa, hace frío, oscurece pronto y tampoco tenemos mucho dinero para gastar y pasar el fin de semana fuera. Cada madre es diferente, la mía lo arreglaría diciendo "vamos a hacer cambio de armarios...".

¿Qué es hacer cambio de armarios? Ordenar, ver qué tenemos en el fondo, ver lo que se puede aprovechar y lo que hay que tirar para hacer sitio a cosas más útiles, y también reformar cosas que aún pueden ser útiles con pequeños cambios. Quién ha hecho "cambio de armarios" alguna vez, siempre se lleva pequeñas o grandes sorpresas, y a veces, lo que se espera encontrar, varía de forma sustancial respecto a la realidad.
Buscar ese abrigo que pensabais que habíais guardado y recordar que lo habíais dado a la tía Francis hace dos inviernos, o encontrar un par de botas, que os creíais que ya no estaban, y que te ahorra pasar por Zapatones Sebastián a hacer un gasto que no os apetecía hacer… 

Todo ello traspasado al mundo de la empresa y con los tiempos que corren, donde los grandes presupuestos se han aplazado y no se abordan grandes proyectos a no ser que determinen la supervivencia de la organización. Si nos adentramos en las infraestructuras TIC, los departamentos de informática y la seguridad de la información, podemos decir que actualmente se cumplen las condiciones para hacer cambio de armarios. Y eso es lo que proponemos: hacer cambio de armarios para saber dónde estamos (y no dónde creemos que estamos), optimizar los recursos disponibles con la inversión mínima y, ya puestos, planificar el futuro. 

Es un buen momento para sacar una foto de nuestra realidad. Concretamente en seguridad de la información es un buen momento para analizar cuál es la realidad organizativa, el nivel de cumplimiento legal, la formación de la organización a todos los niveles, y el nivel de seguridad real, así como hacer pequeños pasos para adentrarnos en el mundo de las buenas prácticas o el cumplimiento normativo. 
Es buen momento para pequeños cambios que generen beneficios a corto plazo sin comprometer inversiones futuras. 

También es el momento para poner en solfa todo aquello que no acabamos nunca, implantación de normas y procesos, programas de concienciación de los usuarios de los sistemas y repasar el por qué hacemos las cosas de una manera determinada, y si esta manera de hacer sigue cumpliendo los objetivos por los que fue establecida. 

Aquí es donde recae el valor de la buena gestión del CIO que se demuestra en aprovechar estos momentos difíciles y de pocas inversiones para maximizar la eficiencia y la eficacia de los equipos y sacar el máximo rendimiento con la mínima inversión. Apuntalando el trabajo de los últimos años con una base sólida, y que permita que la gestión de la seguridad pueda adquirir un grado de madurez notable. 

En esta época, donde hay un importante descenso de nuevos proyectos, un CIO experimentado es capaz de ver la oportunidad de alcanzar nuevos objetivos basados, no tanto en grandes reformas, sino en la mejora de pequeños aspectos que hasta ahora no se han contemplado pero que son igualmente importantes. Así, llegados a este punto, es donde el CIO debe buscar recursos para sacar tiempo para revisar, ordenar y evaluar todo lo hecho en los últimos años, proponer mejoras y prepararse para el futuro. 
Ayudar a “hacer cambio de armarios” a nuestros clientes y potenciales clientes es una de nuestras especialidades.

Jordi Pujol i Larena
Área de Seguridad de Dinaptica
Hand in Hand Consulting