El factor MID pierde fuerza
Se buscan técnicas más realistas
Todos vivimos bajo una combinación de miedo, incertidumbres y dudas que afectan negativamente a nuestra vida diaria. Sin embargo, aunque a todos nos está permitido un cierto grado de preocupación neurótica en nuestra vida privada, se trata de una cualidad que rara vez es admirada en el mundo de los negocios. Entonces, ¿por qué tantos ejecutivos de seguridad continúan recurriendo a tácticas de intimidación y catastrofismo para conseguir de la dirección inversiones en seguridad?
En primer lugar, porque resulta fácil hacerlo así, y hay una multitud de historias entre las que elegir. La mayoría de las empresas y organizaciones siguen considerando a la seguridad como un centro de costes, y resulta mucho más fácil presentar una argumentación de que “hay que invertir o atenerse a las consecuencias...” que explicar la relación entre los gastos en seguridad y la cuenta de resultados de la compañía mediante un análisis e investigación apropiados. El término equivalente FUD (Fear, Uncertainty and Doubt) traducido al castellano responde a los siglas MID (Miedo, Incertidumbre y Dudas) fue creado originalmente en los años 70 en Estados Unidos para designar una técnica de marketing de IBM que consistía en difundir rumores alarmantes sobre un nuevo producto de un competidor para disuadir a los clientes de correr el “riesgo” de adquirirlo. Muchos directores de seguridad o “chief security officers” (CSOs), habiendo observado de primera mano las deficiencias de las prácticas MID, están desarrollando técnicas más prácticas y realistas para defender sus argumentos sobre seguridad.
El problema fundamental de la táctica MID es que establece un esquema que destruye la comunicación entre el director de seguridad y la dirección de la empresa, alimentando sospechas y desconfianza. El uso persistente de tácticas MID por un CSO terminará por influir en la opinión de la dirección sobre todo lo que dice y hace, afectando a la idea que tiene aquella sobre sus capacidades y sobre la función de la seguridad en su conjunto. Por lo tanto los CSOs deben ofrecer en lugar de tácticas MID las estrategias siguientes para comunicar e informar sobre los riesgos y los requerimientos en relación con la seguridad:
Cambiar la propia actitud. El primer paso para eliminar las tácticas MID es perder uno mismo esa actitud de temor. De todas formas, en las discusiones sobre seguridad estas tácticas de infundir temor rara vez son necesarias. Actuando para la dirección como filtros para analizar la diversidad de posibles virus y hackers que flotan en el ambiente, los CSOs tienen la tarea de presentar una perspectiva clara y consistente sobre lo que representa cada uno de los eventos o noticias para la compañía.
Forjar Conexiones. Comunicar e informar sobre seguridad es particularmente difícil cuando el ejecutivo de seguridad es el único que habla. Según diversos CSOs, la táctica MID es el último recurso de aquellos que no han formado unas comunicaciones críticas a nivel ejecutivo y establecido iniciativas de educación e información que ampliaran la base de la responsabilidad sobre seguridad.
A falta de un grupo de seguridad formal y distribuido, los CSOs pueden crear su propio grupo informal colaborando con directores de unidades de negocio clave que ayuden a difundir los temas sobre seguridad y respalden iniciativas de seguridad con el apoyo de esas unidades de negocio. Para crear esas relaciones, no sólo hay que concentrarse en ayudar a los otros ejecutivos a comprender lo que puede hacer por ellos la función de seguridad, sino en garantizar que consideren la seguridad como una ayuda y no como un obstáculo. Los CSOs que se mantienen frenando proyectos y hablando de por qué las cosas no pueden hacerse, en lugar de ofrecer soluciones conseguirán una reputación de impedimentos y no de posibilitadores. Es por eso que las unidades de negocio intentan con frecuencia circunvalar y evitar el proceso de la seguridad.
Educar y atenuar. Cuando un CSO toma el tiempo necesario para educar e informar a la dirección de la compañía sobre la seguridad, está despejando el camino hacia unas discusiones racionales sobre presupuestos y reduciendo la necesidad de recurrir a tácticas MID. Una parte importante de ese proceso de educación es asegurarse de que las expectativas de la dirección de la compañía respecto a lo que puede ofrecer la organización responsable de la seguridad sean realistas. La seguridad de la información es de especial importancia a este respecto. Los CSOs tienen que atenuar las expectativas de la dirección respecto a la seguridad, para que los ejecutivos comprendan que con un gran “cortafuego” o firewall no se resuelve todo, y que hay otras piezas, como un sistema de detección de intrusiones, protección por contraseña y sistemas antivirus, que tienen que estar instaladas y funcionando como un conjunto bien cohesionado.
Los CSOs pueden ayudar a controlar y dirigir esas expectativas de la dirección informando continuamente sobre las inversiones ya realizadas por la compañía en seguridad, para que aquella sepa qué es lo que está produciendo resultados y –lo más importante– lo que no está dando resultado y por qué. Los CSOs que realizan el seguimiento de este tipo de información y la comunican y transmiten proactivamente a la dirección superior obtienen una importante credibilidad.
Hablar el mismo idioma. Los CSOs deben hablar con la dirección utilizando expresiones y términos de negocio. Esto es absolutamente importante para el éxito de un programa de seguridad por cierto número de razones, pero es también particularmente crítico para el objetivo de erradicar las tácticas MID. Hablar a los ejecutivos sobre hackers y virus podría resultar eficaz para mantenerlos en alerta, pero lo más probable es que no sepan qué hacer con esa información.
Al comunicarse con los ejecutivos, los CSOs deben abstraerse de su propio mundo de la seguridad y la tecnología.
Trabajar con cifras. Unas “métricas” o valores recogidos y mantenidos meticulosamente siempre permitirán convencer más rápidamente a la dirección de la necesidad de una inversión en seguridad que si se utilizan tácticas de alarma y temor. Los CSOs que mantienen al día unas buenas métricas pueden prescindir de la táctica MID y dejar que las cifras hablen por sí solas. Aunque las cifras sobre infracciones y ataques a la seguridad han sido hasta ahora bastante incompletas y poco precisas, cada día aparecen nuevas cifras de mayor precisión. Cuanta más munición pueda obtener un CSO de casos reales y de su propia empresa, mejor preparado estará para presentar una argumentación sólida en demanda de fondos.