Me topé con un artículo de Roger Grimes donde se defiende la idea de que bien puede ser un buen administrador quien esté a cargo de la seguridad en TI. Una amiga (y al parecer una buena administradora) del autor versada en finanzas de pronto se vio como titular de seguridad en su empresa, podría una buena administradora dirigir los esfuerzos de seguridad? Mi respuesta es que no.
Y espero que no me vea influenciado por el hecho de yo mismo haber finalizado una ingeniería en sistemas para decir que "perdón pero no", y que un administrador difícilmente podrá hacer su trabajo de manera efectiva y entender la problemática que representa la seguridad de la información en una empresa. El autor Grimes incluyó en su relato que su amiga administradora le había pedido consejo para saber por dónde empezar (signo de no tener ni idea) y para decirle que ella tendría bajo su cargo gente conocedora del tema de seguridad de la información (signo de "alguien más lo hará").
Esto último me recuerda a cierta Ana y su grupo de expertos, donde si recordarán se le reprochaba que ella no tenía ni idea (¿o poca idea?) y que mejor fuera alguien de su grupo de expertos el que estuviera a cargo del puesto. Digo, no tenía a un grupo de expertos corriendo por ella, porque ahí sí, ella era la experta.
Lo mismo para un cargo de seguridad de la información en una empresa, no podemos poner a alguien que no tiene ni idea pero eso sí, rodeado de un grupo de expertos en SegInfo. ¿Mi propuesta? Es mucho mejor para una organización hacer a una persona que domina el tema de seguridad a que le entre a las cuestiones administrativas que viceversa.
¿Por qué lo sé? Porque conozco varios casos de estos y uno muy de primera mano porque trabaja conmigo: es una persona que domina los temas de seguridad de la información y es un muy buen administrador. Pero su formación viene de sistemas y cuenta con pilares de seguridad y ya con la experiencia ha adquirido el perfil de administrador. Es lo que toda organización debería de buscar: alguien versado en SegInfo que administre recursos humanos/materiales y a la propia SegInfo.
El tema de seguridad de la información es uno muy complejo (en mi opinión), lleno de cuestiones técnicas, antecedentes informáticos, entendimiento de riesgos, estándares y todo un background que hace difícil señalar a alguien y decir "él es un experto en seguridad", y claro, que realmente lo sea.
Entre más le escarbamos al tema de SegInfo, nos damos cuenta de lo mucho que nos falta por aprender. Y al menos para un puesto de seguridad de la información sí debemos de poner a alguien que entienda la problemática y lo de "administrador" es una cuestión sí importante, pero que se puede adquirir.
De otra manera, que me hagan director de neurocirugía, ya yo me encargaré de rodearme de expertos. Nos estamos tuiteando (ID: FaustoCepeda).