“Tienes que escribir un blog”. La frase me cayó como balde de agua fría. No sólo porque nunca me han gustado los blogs, al menos no para ser dueño o escritor en uno, sino porque siempre he pensado que hay algo de prepotencia en aquel periodista que se siente líder de opinión únicamente por tener un espacio en un blog. Cuando la realidad es algo que prácticamente todos, periodistas o no, podemos tener.

Pero era inevitable y, aunque no estaba en mi contrato mi jefa lo había pedido y negarse era como firmar una renuncia no explícita. Así, que aquí estamos arrancando este espacio. Un lugar donde, según la versión oficial, debo comentar sobre los temas más relevantes de seguridad informática en México y el mundo, con ojo crítico, veraz, profundo y único (ups).

Sin duda es un tema que conozco pero que, siendo sincero, no domino, como no creo que nadie lo haga. Pero que mejor espacio que el de un blog, una de las tecnologías pioneras  y punta de lanza del ya conocido y sobre nombrado fenómeno de la Web 2.0, para equivocarse, debatir, criticar al autor o ayudarlo a desarrollar un foro nutrido y completo sobre un tema, en este caso seguridad IT.

Si, sé que hoy ya existen redes sociales como Facebook o Twitter para divulgar y propagar ideas. Pero me parece que la primera es demasiado intima y, la segunda muy rápida y poco clara como para discutir a profundidad cualquier tema. Al fin y al cabo no todos podemos opinar en menos de 140 caracteres.

¿Por qué “Aunque me corran”? Quizá es un escudo, para el día que hable de más esté consciente que fue por bocón, pero siempre con bases y argumentos. Puede que a mucha gente no le guste lo que debatamos en este espacio. Después de todo,  la gran realidad es que en materia de seguridad, robo y pérdida de información la mayoría de los errores son reflejo de la torpeza (por ponerlo en un lenguaje propio de un blog de empresa) humana.

Es decir, siempre hay un culpable, un eslabón débil, un hombre o mujer que olvidó tomar precauciones o de plano le valió. Es a ese culpable o culpables a quienes vamos a buscar a cuestionar y criticar. A veces tendrá nombre y apellido, otras será una empresa o varias y alguna más es uno de los responsables del avance de una nación.

Espero podamos construir este espacio entre todos aquellos interesados, preocupados y miedosos de la seguridad IT o ciberseguridad, como ya se le dice. Prometo equivocarme muchas veces, diré tonterías constantemente, pero también les aseguro que siempre buscaré un tema relevante para discutir o comentar y sobre todo les juro (soy agnóstico así que puedo jurar sin problemas) que sus sugerencias y recomendaciones serán  vitales para el blog.

Como postre

No podía dejar mi primero blog sin tocar un tema que el otro día llegó a mi bandeja de entrada: la fuga de datos, algo de lo que por cierto estaremos hablando en la séptima edición del b:Secure Conference, que se llevará a cabo el próximo 10 y 11 de marzo en la Ciudad de México para más datos visiten www.bsecureconference.com.mx (FIN DEL COMERCIAL).

Resultó pues que The Ponemon Institute publicó su estudio sobre la fuga de datos en las empresas durante 2009.

Como muchos otros análisis de seguridad el reporte toma en cuenta la experiencia de 45 compañías estadunidenses provenientes de 15 sectores distintos. Algunos de los datos más llamativos del estudio son el costo promedio anual que las compañías debe de pagar por las brechas de seguridad, el cual cerró en 6.75 millones de dólares. Es decir por cada archivo o datos que una compañía pierde o le roban paga cerca de 214 dólares, algo así como 2,700 pesos.

Según Ponemon, cuando una empresa pierde o es objeto de robo de datos, extravia como mínimo más de 1,000 registros, 42% como reflejo de errores de terceros, 36% por extravío de equipos portátiles o teléfonos inteligentes y otro 24% por ataques cibernéticos.

Lo preocupante en este tema no es que exista la fuga de datos o brechas en la seguridad de las empresas, esas seguramente serán pan de cada día para los CIO y CISO. Lo que me hizo lamentar la situación es que Ponemon fue capaz de realizar el estudio porque en Estados Unidos por ley las compañías están obligadas a divulgar públicamente este tipo de acontecimientos. No para darse un tiro en el pie o perder credibilidad, como se piensa erróneamente, sino para dar claridad y dimensión al problema.

Si en México no existen leyes o marco legales que obliguen a las empresas a hacer públicos sus casos de robo o pérdida de información. Si no existe regulación en el manejo discrecional de los datos de los clientes. Si los bancos, empresas y proveedores siguen pensando que van a perder clientes o negocios por revelar este tipo de datos. Entonces nunca podremos dimensionar el tamaño del problema. Y Sin dimensiones no hay impacto y sin impacto no habrá nunca ningún cambio.

Creo que arranco mi blog pensando qué será de México si gobiernos y empresas consideran que es conveniente seguir operando bajo un modelo de opacidad, discrecionalidad y seguir operando. Ojo no digo que estamos en ceros y que todo está mal. Creo que en algo hemos avanzado y sin duda lo seguiremos haciendo. Quizá por decisión propia o porque alguien más (léase Estados Unidos) nos obligue.  Muchas veces pensamos que es mejor ocultar que confesar, ojos que no ven corazón que no siente pensarán. Sin embargo, no hay que olvidar que uno no debe hacer cosas buenas que parecen malas. Valdría la pena pensar en si los clientes  valorarían más la honestidad de su proveedor ante un error que su gris silencio.

Y ¿ustedes en sus empresas, organizaciones o como personas cómo operan? ¿Acallan las cosas? ¿Las asumen? ¿Qué experiencias han tenido y qué impactos; negativos o positivos? Compártanlas anónimos o no, cada suceso genera experiencia útil para todos.

Nos vemos la semana que viene, eso si no me corren…

PS. Les dejo la liga al reporte por si les interesa http://www.encryptionreports.com/index.html