Dios no juega a los dados, pero los CIOs sí.

Y es que ser CIO o Director de Informática, es difícil, muy difícil. Muchas veces me veo envuelto en debates sobre el buen gobierno de IT, buenas prácticas, metodologías, etc y gracias a muchos años en consultoría y tras haber conocido muchas empresas tengo claro que el papel de los CIOs es como he dicho muy difícil.

Hay que tener mucha capacidad empática para poder hablar de lo que está bien y de lo que está mal y sobre todo valorar previamente las circunstancias que han llevado a las decisiones juzgadas y a veces dejar a un lado nuestro lado mas geek y ponernos el sombrero de “alineación con el negocio”.

Uno de los aspectos más duros del trabajo de un CIO es decidir en que se invierten los esfuerzos y recursos, y estas decisiones son claramente promovidas o aletargadas en base a la importancia para el negocio, otras circunstancias “medioambientales” y por último los riesgos o mejor dicho la percepción tangible del riesgo.

Hay mucha metodologías de gestión del riesgo, yo que pretendo tener una visión practica tengo un principio fundamental sobre esto, “puedes no tener una gestión del riesgo digna de un libro, pero no hay escusa para no haber evaluado tus riesgos”, un CIO puede descartar un riesgo o retrasar su mitigación, pero en mi humilde opinión nunca debe permitirse la NO evaluación de sus riesgos, a partir de ahí la más simple de las matrices de riesgos será suficiente.

Fijaros que digo evaluación y no valoración pues muchas veces la gestión de riesgos se ha visto “desprestigiada” por valoraciones absurdas de los riesgos sobre todo en los aspectos económicos, cierto es que estas valoraciones suelen estar siempre promovidas por un partner con ansias de venta o por alguien interno que quiere justificar el gasto, esto no lo comparto, en muchos casos es imposible valorar económicamente un riesgo y antes que poner algo ridículo es mejor no valorar económicamente y exclusivamente valorar los aspectos que si sean objetivos.

Por lo tanto un CIO que ha hecho los deberes y es conocedor de sus riesgos asignara los recursos que considere oportuno dentro de sus posibilidades y prioridades a la mitigación de los riesgos que estime más apremiantes para su organización, es aquí  donde el CIO juega en muchos casos a los dados.

No sé si habéis jugado alguna vez a los dados, yo no, pero supongo que si apuestas dinero, el miedo a perderlo es un buen aliado a la hora de no arruinarte.

El problema es que de los riesgos expuestos en la matriz, usualmente un buen porcentaje de ellos estarán englobados dentro de la categoría de seguridad. Hace años, teníamos virus “sonoros”, cutres  artimañas electrónicas desarrolladas por barreneros de lo informático que tras explorar generaban ruido, salían en los medios de comunicación y afectaban más o menos a la mayoría de empresas, sin embargo como todos sabéis, los chicos malos evolucionaron y  al igual que Harry encontró a Sally los desarrolladores de malware encontraron el dinero, la búsqueda de la rentabilidad los hizo silenciosos y mucho más ingeniosos, en detrimento de esos ruidosos virus y gusanos empezaron a desarrollar programas pensados para no ser visibles, así que pese a vivir uno de los momentos con mayor diversidad y complejidad de “bichos”, con redes zombi de tamaños considerables y el spam o el fraude bancario en aumento, muchos CIOs han perdido el miedo y ahora juegan a los dados más fuerte que antes.

Pero no solo esto, tenemos otros ejemplos de cómo la ausencia de miedo, es un potenciador de la capacidad para asumir riesgo, por ejemplo es una pena ver como hay empresas que han virtualizado porcentajes importantes de sus servidores y por alguna razón han dejado de pensar en los parches de seguridad, firewalls, medidas de tolerancia a fallos, etc de esos servidores o como en muchos casos la virtualización ha pasado por encima de políticas ya consolidadas en las empresas, la facilidad para trabajar con las maquinas virtuales ha terminado desencadenando una pérdida de miedo y el miedo es buen consejero.

Muchas revistas del tipo showroom como Computing o EWeek nos muestran artículos sobre los proyectos de IT realizados por las empresas y no puedo dejar de asombrarme de cómo cajas, bancos, aseguradoras u organismos públicos hablan de emprender o de haber terminado recientemente proyectos para establecer planes de emergencia o centros de recuperación, no es que trate de sacar conclusiones de los medios de publicidad de este nuestro sector, pero sí que coincidiereis conmigo en que resulta curioso encontrarte en una revista al director de informática de tu banco hablando sobre lo mal que estaba su centro de respaldo antes de realizar un proyecto.

No me entendáis mal, es imposible acometer y solventar todos los riesgos, siempre he odiado los alarmismos y siempre he tratado de equilibrar la balanza entre seguridad y riesgo, solo digo que hay riesgos asumibles y otros que no.

Hay cosas que no asumiría y que por suerte siempre he tenido solucionadas, por ejemplo en mi opinión de forma coherente para las necesidades de cada empresa no disponer de un plan de contingencia es jugar a los dados, no tener una política intachable de backups y recuperación es jugar a los dados y no disponer de un sistema de actualización de parches, aplicaciones y de herramientas anti-malware es jugar a los dados, asumir riesgos en la seguridad perimetral y en los servidores expuestos al exterior es sin duda tambien otro asunto cuanto menos peligroso.

El otro día me contaban de una gran empresa que tras tener que poner en marcha parte de su plan de contingencia se había encontrado con que este no funcionaba, ¿Cuánta gente prueba sus backups recuperándolos?, ¿Cuántos tienen procedimientos de recuperación del AD o de por ejemplo servidores de licencias o firewalls?, ¿Cuántos cuentan con WSUS o SMS pero no revisan los informes de estado? , ¿Cuántos no hacen simulacros de emergencias?

¿No se estará jugando a los dados con la seguridad?