Historias de ciberseguridad: Planificación vs riesgo

Esta historia ocurrió en un cliente “gran cuenta”, pero la moraleja nos sirve para cualquier compañía, con independencia de su tamaño.

Reunión importante. Por un lado, toda la dirección de la compañía “cliente”: Director General, Director Financiero, Director de Informática, Director de Operaciones (se trataba de una compañía con un alto componente industrial, así que hablamos de operaciones “productivas”), y varios responsables de cada uno de esos ámbitos. Por otro lado, el equipo consultor.

Empieza la presentación. Antes de empezar, el consultor hace varias preguntas muy sencillas sobre el estado actual de protección de activos críticos, ciberseguridad y seguridad de la información en general.

  • ¿medidas de protección de activos industriales? ¿segmentación de redes?
  • ¿tecnologías de protección y monitorización de amenazas?
  • ¿personal dedicado a estas actividades? ¿medios disponibles? ¿servicios externalizados?
  • Las respuestas a todas las preguntas fueron poco o nada esperanzadoras para ellos principalmente.

En ese momento, el consultor siguió con el guión preestablecido. El cliente quería una propuesta de plan integral de seguridad de la información. Un plan que les dijese todo sobre como proteger su organización, su negocio. Muchos millones de euros de facturación.

Que si análisis de riesgos (BIA), que si auditoría de seguridad, que si plan de acción de … preguntas y más preguntas del cliente que se iban contestando sobre la marcha… Tras 30 minutos de presentación de la estrategia para abordar el proyecto hay una pausa del consultor, que mira a toda la audiencia y pregunta…

¿Qué os parece nuestro planteamiento de proyecto?

No transcurre ni medio segundo en tener una respuesta del Director General…

¡Es justo lo que necesitamos!

Entonces, para sorpresa de todos, el consultor comenta….

Pues lamento deciros que sí, pero no.

Necesitáis el plan integral de seguridad de la información, pero no podéis esperar a tener los primeros resultados de este plan tal y como lo queréis lanzar – llevaría como mínimo un par de meses – para empezar a resolver situaciones que ya me habéis dicho que no tenéis implantadas.

Los mínimos. Las respuestas nada esperanzadoras a las preguntas que comentaba antes.

Que tomasen la decisión de lanzar este proyecto lleva tiempo. Lanzarlo administrativamente dentro de su organización lleva tiempo. Adjudicar… y después… Un análisis de riesgos completo lleva tiempo, definir un plan de acción en el que intervienen muchas áreas de negocio, lleva tiempo. Coordinar lleva tiempo… y vosotros tenéis problemas que no necesitan tiempo, necesitan decisiones inmediatas.

Si sabes que tienes una puerta abierta de par en par en tu casa, ¿qué harías?

¿Hacer un pliego de necesidades, pedir oferta a 3 proveedores, valorar diferencias? ¡Y mientras tanto la puerta de tu casa sigue abierta de par en par para que entre cualquiera!

¿O pondrías algo de forma inmediata, asesorado por alguien de confianza si tú no sabes todo lo que necesitas de puertas, con una inversión mínima, aunque sea “un tablero muy robusto con una cerradura y poco más”… pero que no deje pasar a nadie sin más?

Se miraron … y entendieron que la estrategia era importante y necesaria, pero los problemas que ya tenían identificados no tenían que esperar a que nadie les dijese que los tenían que solucionar, y si me apuras, sabían hasta la manera de hacerlo.

Moraleja…

Está bien planificar, pero no se puede bloquear una decisión urgente y necesaria por la planificación. Decide. Actúa. Incluso aunque no sea la decisión perfecta