Inicio / Blog / La tarea clave de documentar

La tarea clave de documentar

Publicado el 29/04/2013, por Mariano del Río
Documentación

Uno de los aspectos más importantes al momento de tomar la gestión de cualquier proceso, en este caso, en materia de seguridad de la información, es contar con aspectos mínimos documentados que permitan identificar los activos, interlocutores, actividades,registros, procesos, etc.

 

Es algo frecuente encontrarse con organizaciones de todo nivel y envergadura, que no cuentan con estos aspectos mínimos y pagan muy caro la ausencia de ellos, a través de distintos incidentes de seguridad e impactos inesperados en proyectos.

Al “saber que tenemos” le tendríamos que sumar el “cómo funciona”, conocimiento que queda entre las personas que participaron del proyecto y que la organización no lo convierte en conocimiento común y propio. Dependencia de aquellos que participaron, como símbolo de una inmadurez preocupante.

La falta de la “tarea clave de documentar” es un mal que nos persigue a través de las organizaciones, que siguen sumando herramientas y consultores, pero que no logran hacer propio el conocimiento.

Cambios que se convierten en incidentes, incidentes que se convierten en problemas y la falta de documentación como su causa raíz. Es que acaso “no es de técnicos” documentar, es más, “es de técnicos apagar incendios uno tras otro”. En verdad, quizás deberíamos hablar de si es profesional o no trabajar de esa forma.

Proveedores que con sólo exigir documentación exponen las debilidades de la organización, que “con su dinámica” no logra cumplir lo requerido, y el precio se paga con un SLA que jamás se cumplirá por falta de documentación. En fin, nuevamente cambios cuyo impacto se mide por “buena onda” con el iniciador, pero no porque se cuente con la información requerida para ser diligente y acompañar al negocio. Mientras que también se entiende como acompañar al negocio, el “no poner trabas”, que también es conocido como pedir documentación.

Finalmente terminamos siendo hijos del rigor, documentando cuando “lo pide auditoria” o “debemos documentar por SOX”, nada más doloroso para quienes entienden que el documentar es un elemento clave de cualquier gestión que quiera considerarse mínimamente profesional.

Los que documentan también tienen el problema de poder identificar qué agrega verdadero valor y qué cosa es simplemente papeles sin sentido. Aquí podríamos encontrar el origen en la concepción de la documentación, si fue iniciado como un elemento para agregar valor o porque “nos exigen documentar”.

Lo cultural no es un tema menor, sobre todo si creemos que escribir lo que hacemos y sabemos puede dejarnos sin trabajo. Lamentable pensamiento que no por lamentable es menos frecuente, quizás alimentado por quienes realmente despidieron alguna vez a alguien por no armar una “quintita”. Pobre de aquel que haya tenido que convivir en un ámbito tan mediocre. Que ello no nos limite y haga iguales, marcar la diferencia es lo que nos mantendrá competitivos y profesionales.

Se ha identificado como algo tan fundamental que hasta los estándares y regulaciones le dedican apartados y objetivos de control. “Documentar las tareas operativas críticas”, y que problema se genera al tener que identificar lo crítico si aún no sabemos dónde está, cuánto vale y qué le podría pasar, o mejor dicho, aún no hicimos un análisis de riesgos, pero ya implementamos controles y compramos herramientas (algunas duermen en su caja original).

Pero tranquilos, ya llegará el proveedor que nos resuelva todos los problemas, ya llegará el que nos diga qué cosas son importantes en nuestro propio negocio y es más, será responsable de lo que nosotros no hagamos. Total eso del “due diligence” es de gringos, quién dijo que ser responsable aplica en todos lados.

En el mundo se habla de ciberguerra, de presupuestos millonarios en defensa, en equipos, en todo tipo de tecnologías, de amenazas persistentes y todo aquello que también pueda justificar muchos negocios e intereses que están en juego...y que son los de siempre. Difícil creernos preparados para una ciberguerra, o al menos para dar una respuesta adecuada a un incidente, si para justificar una cuenta no personal demoramos meses o para saber por qué corre un servicio en un determinado activo tenemos que hablar con un ex-empleado.

En fin, quizás dándole más importancia a la documentación podamos enfocarnos en lo importante y dejar de apagar incendios o provocar incidentes a través de cambios aprobados y planificados.

Etiquetas: