03 enero 2008

La seguridad y la percepción de control

Uno de los principios fundamentales sobre los que se basa el control interno en cualquier organización es el hecho de que la percepción de control es uno de los elementos más eficaces para evitar conductas, actos no deseados. Basta con informar a los usuarios de nuestros sistemas de información de que vamos a hacer una clasificación con el Top10 de consumidores de ancho de banda para que todo el mundo se retraiga en las descargas desde Internet.

Ahora bien, si el control que utilizamos está mal diseñado y no permite realizar adecuadamente esa clasificación o existen resquicios por los que escaparse, estamos perdidos: La consecuencia será justo la contraria. ¿A qué se debe esto? Básicamente, al componente psicológico que tiene la evaluación del riesgo (y por ende, la seguridad). Por eso, no puedo estar más de acuerdo con la tribuna que ha escrito Santiago Grisolía, presidente ejecutivo de los Premios Rey Jaime I, sobre los controles de seguridad en los aeropuertos.

Y es que, los controles de seguridad de los aeropuertos están perfectamente mal diseñados y son una muestra de lo que nunca haría un experto en seguridad:
Establecer controles ineficaces (porque no consiguen lo que pretenden) e ineficientes (por los costes que generan) que dificultan a los usuarios y entorpecen la prestación del servicio. Pero sobre todo, lo peor, es que generan la sensación contraria a la deseada: Se supone que esos controles persiguen transmitir a los usuarios una sensación de seguridad pero lo que consiguen es justo lo contrario; como todos sabemos de los grandes fallos que presentan, a los que volamos habitualmente solo nos queda rezar (o lo que sea) para que nuestro avión no sea uno de los "elegidos" porque, desde luego, como tengamos que depositar nuestra confianza en los controles de seguridad de los aeropuertos, lo llevamos claro (que diría un castizo).

Supongo que lo trágico de los incidentes que ocasionaron todas estas medidas justifica la situación, pero creo que, pasado cierto tiempo, se impone una reflexión entre los organismos responsables de estas medidas que permitan contribuir de mejor manera al objetivo que se persigue de dotar de una mayor nivel de seguridad a los viajes en avión.

La definición y el diseño de controles de seguridad (creo que todos estaremos de acuerdo) no puede ser tal que impida o dificulte que una organización cumpla sus objetivos (su meta). Y estos controles de seguridad, creánme, no ayudan a fomentar los vuelos en avión, por ejemplo, frente a la competencia de la Alta Velocidad... solo una reflexión para finalizar: ¿Por qué los controles de acceso son tan diferentes en los aeropuertos y en las estaciones de tren cuando ambos medios de transporte han sufrido (al menos en nuestro país) el terrorismo de igual manera?

02 enero 2008

El canon digital o el control de acceso a la información

En este último mes ha sido sin duda uno de los asuntos estrella (y no digo que no sea para tanto). No obstante, en mi opinión, se trata más de un tema de forma que de fondo, ya que las mayores críticas al planteamiento actual del canon se deben, no tanto a su existencia, sino a que afecte por igual a todos los soportes con independencia de su utilización final.

Para mi, como consultor, la propiedad intelectual es mi único activo, ya que no me dedico a vender mis horas (en cuyo caso, el activo sería mi cuerpo - no quiero ni siquiera reflexionar sobre este asunto), sino mi conocimiento, mi forma de resolver asuntos complejos de una forma creativa, eficiente y eficaz (gracias Mario). No digo que en otros ámbitos la propiedad intelectual no sea importante, pero en esta profesión habría que proteger hasta las ofertas de servicios profesionales: ¿Cuántas veces nos hemos encontrado con que nuestras ofertas caen en manos de la competencia que las plagian vilmente y las ponen en el mercado como suyas? En una profesión en la que vendemos, básicamente, intangibles, el hecho de que el papel lo soporte todo y no haya forma de proteger esa metodología, ese know-how hace mucho daño (pero bueno, eso da para otro post sobre el modelo de consultoría tradicional).

De lo que yo quería hablar hoy es que, en estos días de "relax" navideño me he encontrado pensado en la gran similitud que tiene en el fondo el 'canon digital' y el 'control de acceso a la información'. Y es que creo que en el fondo, se trata del mismo asunto: Restringir el acceso a determinada información (esté en el soporte que esté y sea del tipo que sea) a determinados usuarios. En el caso del canon, queremos que sólo aquellas personas que hayan adquirido los correspondientes derechos puedan visualizar, escuchar, leer... nuestra obra. En el caso del control de acceso en los sistemas de información queremos que accedan a la información aquellos usuarios que 'necesiten saber' (ya sabéis, el famoso 'need to know') salvando la problemática de distintos entornos y distintos soportes (USB, PDAs, PCs...).

Sea por el motivo que sea, estamos ante una situación que, evidentemente, no está resuelta desde el punto de vista tecnológico, puesto que nos vemos obligados a establecer un canon tipo café para todos y, porque el control de acceso a la información es UNO de los más importantes retos, por no decir, EL reto para el futuro cercano.

Y es que, Internet también está evolucionando. Ha pasado de ser un mero canal de comunicación a definir nuevas formas en las que las personas interactúan (la participación, la web 2.0, etc, etc.) Me gusta mucho la forma en la que lo definen en el JERICHO FORUM (gracias, Gianluca por la referencia): la palabra que ellos utilizan es 'desperimetrización' (en inglés, de-perimeterization) y lo que pretenden expresar es cómo la evolución de Internet hacia un mundo mucho más global, sin fronteras cerradas y mucho más interconectado influye en la forma en la que la industria de la seguridad debe cambiar las soluciones que propone. Ya es patente la preocupación por la privacidad en este entorno, pero existen otros ejemplos patentes, como es la evolución del fraude o del ciber-terrorismo, pero la protección de la información es otro ejemplo claro.

No me queda más que desear mucha suerte a esta iniciativa y seguirla de cerca...