21 noviembre 2007

Reflexiones en el Information Security Forum

El pasado día 7 de noviembre asistí al Executive Briefing que el Information Security Forum organizó en Madrid y que alojó amablemente el BBVA como uno de sus 5 miembros españoles (junto con Caja Madrid, la Caixa, Repsol YPF y Telefónica).

Como en casi todo este tipo de eventos, había más proveedores que clientes finales (pobrecitos aquellos que se piensan que en este tipo de "saraos" se puede hacer "labor comercial") y algún que otro medio. Esto es lo de menos. Lo importante fue, por una parte, la buena sensación que me dejó el ISF, como asociación y, por otra, dos reflexiones que me surgieron escuchando a los ponentes y que me gustaría compartir:
  1. En primer lugar, la importancia que dieron a todo lo relacionado con la estrategia (de hecho, fue la parte que me resultó más interesante). Si alguna vez me habéis leído, sabréis que es una de las áreas en las que vengo trabajando más intensamente porque creo que es un gran déficit actualmente y que los Planes Directores de Seguridad no están abordando correctamente.
    De hecho, se comentó que "solo un 25% de los miembros del ISF tienen una estrategia de seguridad definida" y eso que, se supone, que son organizaciones pioneras que están interesadas y preocupadas por la seguridad, así que imaginemos lo que puede ser en el resto. Este dato, solo hace que animarme en la línea de trabajo iniciada con Mario para alinear la seguridad con la estrategia de negocio.
    Me gustó (aunque me parece un poco simplista) la definición de la estrategia de seguridad considerando tres tareas principales: dar soporte al negocio, defenderse de las amenazas externas y "raise the profile". En fin, ya le daremos vueltas...
  2. El otro aspecto deriva de un comentario que suscitó cierta polémica en relación al cumplimiento con leyes y otras disposiciones. Básicamente lo que se vino a decir por un asistente fue que las leyes se equivocaban al decirnos cómo teníamos que hacer las cosas en lugar de qué teníamos que conseguir. La verdad es que, filosoficamente, podría estar de acuerdo pero, ¿cómo se define de manera concreta e inequívoca lo que tenemos que conseguir? No hace falta que os recuerde aquello de que los objetivos han de ser S-M-A-R-T.
    La verdad se me hace muy complicado definir la seguridad de manera "elegante".

No hay comentarios: