Por qué los departamentos de IT no necesitan ser repensados

Hace algunos días leí un artículo escrito por Marcus Wohlsen en el sitio de tecnología Wired, en el que hacía referencia a la necesidad de replantear el funcionamiento de los departamentos de IT en las organizaciones.

Basado en opiniones de los fundadores de cuatro tech start-ups (emprendimientos tecnológicos relativamente nuevos), el autor da una visión completamente imparcial sobre el accionar de los departamentos de IT en las organizaciones de hoy. Si bien el paradigma ha cambiado y es cierto que todos los empleados poseen al menos un dispositivo móvil que llevan a cuestas a cualquier lugar (incluída la oficina), los que no han cambiado – o si, pero para peor – son los riesgos asociados a las prácticas, en ocasiones negligentes, de nuestros usuarios.

Con más de ocho años de experiencia en el mercado de los sistemas de información, y estando actualmente a cargo de un departamento de IT, quisiera dar otra mirada a esta temática. Una opinión que dará respuesta al enigma de por qué los departamentos de IT suelen rechazar los pedidos de los usuarios.

Nuestra misión

Durante años se nos ha encomendado ayudar a las organizaciones a trabajar de manera ininterrumpida, brindar continuidad de negocio y minimizar los riesgos de fuga de la información. Estos y muchos otros objetivos serían imposibles de cumplir (y no exagero) utilizando el paradigma que plantean los entrevistados.

Según ellos, las organizaciones deberían permitir que empleado lleve su portátil, tablet, teléfono móvil o cualquier dispositivo y lo conecte a la red corporativa sin ningún filtro. Sistemas operativos no homologados, actualizaciones pendientes de instalación, programas antivirus poco eficaces o simplemente inexistentes, aplicaciones ejecutándose en segundo plano generando tráfico de red constante, programas espías -aka spywares- y un largo etcétera.

A lo largo de los años, mientras aplicábamos nuevas políticas de seguridad para cumplir con nuestra misión e intentar ganarle la carreraal software malintencionado, se forjaba entre los usuarios la creencia de que los departamentos de IT fueron ideados para restringir o limitar su felicidad.

Los departamentos de IT de gran parte de las organizaciones se rigen bajo estándares internacionales, diseñados y probados a lo largo y ancho del mundo en una amplia variedad de escenarios. Estándares que día a día son sometidos a exhaustivos análisis y revisiones como consecuencia de los avances de la tecnología y el acompañamiento de las vulnerabilidades.

De mi experiencia pude recoger decenas de casos en los que los usuarios se vieron obligados a detener sus tareas habituales – poniendo en riesgo la continuidad de negocio – como consecuencia del mal funcionamiento de sus estaciones de trabajo. Estaciones que, paradójicamente, no se encontraban reguladas por ningún tipo de política de seguridad informática.

¿Sabrán estos jóvenes emprendedores que los dispositivos USB -pendrives, reproductores de música- están entre los primeros portadores de virus, troyanos y otras pestes? ¿Sabrán que representan uno de los mayores riesgos de fuga de información para sus organizaciones?

Con el pretexto de brindar movilidad y libertad, los departamentos de IT deben lidiar con este problema desde hace algunos años. Que cada empleado pueda configurar el correo electrónico corporativo en su teléfono celular o tablet representa, y debemos reconocerlo, un altísimo riesgo para las organizaciones. El caudal y la sensibilidad de la información que circula por estos dispositivos es altísimo y pocos son los que se encuentran protegidos por una contraseña que, en muchos casos, será 123456, según un estudio revelado recientemente por la consultora SplashData.

Que Aaron Levie, CEO de BOX, una de las compañías líderes en almacenamiento en línea, comparta la política del empleado liberal me preocupa y me obliga a sugerir pensar dos veces antes de dejar nuestra información en sus manos.

Libre albedrío de dispositivos, redes wireless por doquier, acceso a herramientas corporativas sin encriptación, entre otros, no representan mas que un sinfín de irresponsabilidades y brechas de seguridad altísimas.

Con esto no quiero decir que no deba brindarse movilidad a los empleados de las organizaciones. Por el contrario, soy un fiel adepto a la ideología del trabajo remoto -aunque a los argentinos aun nos falta mucha cultura de responsabilidad para rendir lo mismo que en la oficina-, siempre que se encuentre regulado por una fuerte e inquebrantable política de seguridad que permita a los departamentos de IT de las organizaciones garantizar un acceso seguro a la información.

Les propongo a quienes lean este artículo -estén cumpliendo el rol del usuario o del profesional de IT- que compartan a través de los comentarios sus experiencias en este sentido y los invito a crear conciencia sobre las prácticas que deben adoptar las organizaciones en lo que a seguridad se refiere.

¡Hasta la próxima!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.