Desarrollo de software. En seguridad parecido a desarrollo, solo que todavía peor
Hace poco asistí a un curso de SGSI. Decidí asistir al mismo ya que al estar centrado en la gestión de proyectos de desarrollo de software, existen determinados aspectos como la seguridad de la información sobre los cuales no tengo excesivos conocimientos y además necesitaba una cierta actualización de los que ya tenía.
En el curso se planteaba la problemática de que costaba implantar medidas efectivas de gestión de la seguridad de la información ya que por mucho que se trabajase y por mucho que se invirtiese, siempre se rompía la cadena por el eslabón más débil que no es otro que las personas.
El problema es la falta de conciencia de la importancia que tienen la seguridad de los activos de una entidad, la cual llega hasta los niveles más altos de la organización que no terminan de priorizar adecuadamente estas tareas integrándolas como un proceso más.
A esto hay que sumarle el hecho de que exista una creencia generalizada de que la seguridad de la información se considera algo que es función del Departamento de Informática y como tal el resto de Departamentos suelen descargarse de responsabilidad.
El Departamento de Informática se encuentra con un problema ya que ahí sí que existe conciencia de la necesidad de aplicar una serie de medidas de seguridad que no es otro que tener que liderar las distintas acciones que se tomen al respecto, sin tener el apoyo del resto de departamentos y en muchos casos sin ser considerado algo prioritario desde arriba.
Al final, mucho esfuerzo que conseguirá determinados objetivos pero sin poder llegar a las personas y con la sensación de que se está luchando solo contra molinos de viento.
En los Departamentos de Desarrollo sucede algo parecido, ¿en cuántos proyectos los usuarios no han hecho adecuadamente su labor, teniendo que suplir el equipo de proyecto muchas de las funcionalidades que no han sido correctamente definidas?, ¿en cuántos proyectos los usuarios han cambiado, incluso radicalmente, los requisitos en etapas tardías de la construcción?, pero en los Departamentos de Seguridad es incluso peor, porque los sistemas y sus resultados se pueden ver, pero la seguridad no (solo se ve cuando hay un problema, que suele ser importante y del que por supuesto se hecha la culpa a Informática).
Jummp 