Una de las cosas que siempre me llamo la atención dentro del campo de la seguridad de sistemas, ha sido, como un quinceañero desde de su casa y en su tiempo libre, con un coste de producción de unos pocos euros y un pc casero, ha sido capaz de tumbar una gran infraestructura formada por varios miles de euros en sistemas de seguridad , cortafuegos, routers, antivirus etc, y compuesto de varios departamentos de profesionales en sistemas, seguridad lógica, explotación de infraestructuras, Administración de sistemas, etc.
En resumen con una proporción de
Un David contra Goliat, curioso, pero David nunca parece tener excesivos problemas para acabar con alguien mucho mayor y con mas equipamientos y recursos, así como de causar supuestos daños por valor de millones (o eso dicen).
Normalmente en la industria se tiene la falsa percepción que cuanto mas se invierta en seguridad física o lógica mas a salvo se esta.
Una disponibilidad flexible de recursos siempre es de agradecer, pero el disponer de las últimas tecnologías o sistemas de protección no es la panacea universal que se quiere vender.
Todos los fabricantes en sus demostraciones de seguridad, muestra la solución final que terminara con todos nuestros problemas, estas demostraciones se suceden tres o cuatro veces a lo largo de un año, con una eficacia operativa de unos cuatro meses, antes de que la nueva generación de aplicaciones y tecnologías, genere una nueva batería de problemas sin solución.
Normalmente los problemas graves y me refiero a verdaderas meteduras de pata operativas, parten de las decisiones ejecutivas, tomadas, por los responsables de turno, que desconocen lo que hacen o las consecuencias finales de sus decisiones.
Así pues, no importa cual haya sido la inversión final de la empresa en seguridad cuando, aquíen se le entrega la toma de decisiones no esta preparado para asumir las mismas.
Un ejemplo; en uno de mis últimos proyectos, empresa privada gestionando infraestructuras publicas, tras el desarrollo y entrega por parte de la empresa matriz del plan de explotación y gestión de las infraestructuras IT, en una de las primeras reuniones de trabajo, con el responsable de proyecto. Este, abandono el seguimiento y ejecución del plan de proyecto, basándose en que según su vasta experiencia, un plan de proyecto era algo “tan dinámico y cambiante, que una vez entregada la documentación al cliente, esta no tenia por que seguirse”, esto causo, no poca consternación dentro del equipo técnico , al comprobar en manos de que elemento habíamos caído.
Esta es uno de esas situaciones, en las cuales, da igual los recursos que la empresa destine al mismo, la calamidad esta servida, es solo cuestión de tiempo. Ya que la cadena de decisiones criticas será tomada, partiendo de fuentes mas que cuestiónales.
Como puntualización, cabe destacar que tras una pequeña investigación sobre este responsable de proyecto, se descubrió que en las entrevistas de personal, había indicado que había gestionado otros proyectos en grandes multinacionales, pero una investigación mas detallada, mostró que las funciones desempeñadas no se correspondían con la realidad, asi como el fracaso del proyecto anteriormente mencionado, al ser cancelado por la empresa, desconocemos la razon , pero es facilmente imaginable.
Tras un mes de trabajo con dicho responsable, el Dep. Técnico de sistemas ya había llegado a la conclusión de la poca capacidad de gestion tecnica de dicho responsable ,al ver como las decisiones que se tomaban carecían de experiencia en el sector, añadiendo la falta de capacidad en la gestión tanto de flujos de trabajo como de gestión de personal y recursos.
Entradas
No hay comentarios:
Publicar un comentario