Es de suponer que todos los que trabajamos en temas relacionados directa o indirectamente con la Seguridad de la Información intentamos apoyar nuestros planteamientos y decisiones en argumentos bien armados en su estructura lógica y sus fundamentos científicos o tecnológicos. Probablemente lleguemos a pensar que nuestro trabajo consiste precisamente en eso, es decir, que se nos contrata para que aportemos Seguridad a nuestra empresa sobre una base de rigor científico. Por descontado que no voy a ser yo quien lo vaya a negar, mal andaríamos si un responsable de Seguridad Informática no fuera capaz de responder con nitidez sobre los motivos y fundamentos por los que abre proyectos, instala máquinas o publica normas. Mi reflexión no va tanto sobre si este enfoque es el correcto, sino sobre si es realmente suficiente y si una aproximación fría, por excesivamente objetiva, puede dejar fuera de alcance aspectos fundamentales.

Ciñéndome al entorno bancario, tema del que estoy obligado a tener como mínimo, opinión, podemos considerar algún ejemplo: ¿es relevante para un cliente de Banca Electrónica, por ejemplo, que el banco le explique la multitud de firewalls, proxies, detectores de intrusos, antivirus, etc. etc. que se tienen funcionando constantemente? O, incluso, acercándonos aún un poco más a los verdaderos problemas del cliente ¿tiene sentido que yo le comente que tenemos montado un complejo sistema de vigilancia para evitar que alguien le engañe con un Phishing? Como además de ser responsable de Seguridad de un banco soy también cliente y no sólo de ése, creo que puedo contestarme a mí mismo: El cliente, en principio y como norma general, no necesita que se le cuenten esas cosas, salvo casos muy especiales, y, además, aunque se le cuenten, en una gran mayoría de casos no se sentirá capaz de evaluar hasta qué punto todo eso es bueno, malo o regular. ¿Quiere decir, por tanto, que no le preocupa la Seguridad?, en absoluto habría que sacar esa conclusión, de hecho en las encuestas siempre es un atributo que figura en los primeros lugares de importancia en la valoración de los clientes.

En esas encuestas se suelen hacer preguntas del estilo ¿¿Cómo valora usted la Seguridad que le aporta el banco X en su Banca Electrónica?? El cliente da su opinión sin problemas y no suele reparar en que la pregunta es imposible de responder desde su lugar relativo. ¿Qué sabe, en realidad, el cliente de las medidas objetivas que aportan Seguridad a ese banco? ¿Cuántas, cuales con qué eficacia? Siendo una pregunta, como sabemos, muy difícil de valorar en cualquier Análisis de Riesgos o Auditoria, ¿cómo es posible que el cliente no dude un minuto y responda con total espontaneidad?

La respuesta es bastante obvia, aunque se esconde en el significado traicionero de las palabras. Cuanto preguntamos al cliente por su percepción de la Seguridad, él nos responde, en realidad, con su percepción de la Confianza. ¿Es lo mismo? En absoluto, la Confianza es algo mucho más volátil, escurridizo y difícil de manejar que la Seguridad. No tiene densidad, color ni apariencia física, ni existen formas directas de medirla salvo preguntando al sujeto porque en realidad la Confianza no es otra cosa que una percepción personal y algo parecido a un estado de ánimo.

Lo más sorprendente de la Confianza es que, nos demos cuenta o no, su presencia en nuestras vidas es constante y sin ella, muy probablemente, ni siquiera lograríamos sobrevivir. Ya sé que puede parecer una exageración o una licencia literaria, pero lo digo con total seriedad: la Confianza, al igual que su opositor, el Miedo, son motores de la vida humana hasta en los más pequeños detalles. Probablemente si hiciéramos una encuesta sobre ¿¿Cuál es el verdadero motor de la vida?? una gran mayoría opinaría que es el Amor. Y, efectivamente, considerando "motor" como un estímulo positivo, desde luego el Amor es lo que explica muchas cosas, pero ¿acaso no hay una relación bastante cercana entre Amor y Confianza? No me refiero a la literalidad de las palabras, sino a su significado más profundo.

En todo caso la omnipresencia de la Confianza en nuestras vidas es fácil de comprobar en algo tan universal y cotidiano como son nuestros conocimientos, que a su vez son el armazón de nuestra cultura, convicciones, ideología, interpretación de la vida, etc. etc. Pongamos un ejemplo: todos sabemos que existe una ciudad llamada Moscú y que es la capital de un país llamado Rusia pero ¿cuántos hemos estado allí para comprobarlo? Si sometiéramos a este simple análisis todo (casi absolutamente todo) lo que decimos que ¿sabemos¿ descubriríamos que realmente es que otras personas nos lo han contado de alguna forma, incluyendo, por supuesto, los libros de texto. Y ¿qué es sino una muestra de Confianza, creer que es real una cosa que no hemos visto?

Nuestra Confianza se va construyendo a lo largo del tiempo y consta de muchas caas. Las hay que son permanentes y es rarísimo que las cuestionemos, salvo algún trauma de enorme gravedad, y llegan a fundirse tanto con nosotros mismos que al final se nos puede llegar a describir por ellas: nuestras opiniones, fundamentos convicciones, escala de valores, etc. Otros estratos, sin embargo, son mudables y se van modificando con relativa facilidad según las vivencias o circunstancias, por ejemplo: Confianza en la Seguridad de un Sistema Informático.

Llegados hasta este punto de la reflexión conviene ir poniendo un horizonte de conclusiones que justifique haber llegado hasta aquí en la lectura. ¿Dónde nos han de llevar estas casi obviedades sobre la universalidad de la Confianza? , pues que, de algún modo, la misión del Responsable de Seguridad de la Información, las ha de tener muy presentes, si realmente desea tener éxito en su misión.

Evidentemente tiene que construir sobre bases objetivas de la Seguridad para poder empezar a hablar. El enfoque de su trabajo tiene que estar eminentemente llego de proyectos reales, datos, análisis y objetividad, pero no puede quedarse en eso porque sólo es el suelo. Su verdadera misión es transmitir Confianza sobre esos asuntos de que se está ocupando y para ello tienen que entrar en juego aspectos y matices mucho más cercanos a las relaciones humanas, la inteligencia emocional, la capacidad de comunicación y transmisión e incluso, por qué no decirlo, el marketing.

Cuando en mi trabajo intento describir cual es mi misión con un toque un poco humorístico suelo decir "yo hago outsourcing del pánico". Creo sinceramente que es verdad, la posición del responsable de Seguridad ha de ser asumir con claridad y naturalidad una responsabilidad, para lo que se le facilitan unos medios. Esa responsabilidad incluye saber qué hacer para que las cosas no vayan mal y, sobre todo, saber qué hacer cuando sí que van mal. El resto de la empresa puede seguir tranquilamente en su labor de ganar dinero¿ y Seguridad está aquí para que nada lo impida.

En sucesivas ediciones quizás podamos seguir profundizando en cómo llegar a conseguir transmitir y asentar esa Confianza. Entretanto, simplemente pensad que no se puede transmitir algo que no se tiene: ¿tenéis confianza en vosotros mismos?....