Preguntas frecuentes sobre MADAC

Metodología ágil de adaptación continua. remarcando estas siglas buscamos evocar las fortalezas principales de esta manera de entender los proyectos: agilidad (y no solo porque utilicemos conceptos ágiles) y la adaptación continua como una evolución de la mejora continua.

En el ámbito tecnológico, y particularmente en el de la ciberseguridad, entendemos que la mejora continua no es suficiente.

El ritmo lo marcan desde fuera (particularmente los ciberdelincuentes) y solo hay dos opciones: o nos adaptamos a ese ritmo o no. Y la segunda opción nos acerca irremediablemente al abismo en cualquier servicio que prestemos.

Por varios motivos. El más obvio es que se usan conceptos como iteración y producto mínimo viable muy habituales en las metodologías ágiles. o que estamos muy alineados con principios ágiles.
Otro de los motivos principales es que esta metodología prevé a éxito visto los siguientes pasos facilitando la ejecución de las tareas, pero, de la misma forma, asimila muy bien los cambios sobre la marcha. Es tremendamente ágil en el sentido más dinámico de la palabra.

Poder recorrer una ruta viendo claramente el camino, ver dónde está la meta, que te avisen con tiempo de las dificultades que vas a tener y opciones para abordaras y avisar a tu gente con margen de tiempo para poder organizarse facilita enormemente cualquier proyecto.

Eso hace MADAC, trabajar a éxito visto.

Pocas expresiones hay tan utilizadas en el ámbito tecnológico como comodín como Sistema de Gestión. Eso sí, en cuanto rascas un poco queda claro que no hay nada detrás.

Un Sistema de Gestión reduciéndolo mucho es concretar cómo nos vamos a organizar. Un Sistema de Gestión de la Seguridad de la información (SGSI) viene a ser organizar bien (la SG) cómo vamos a gestionar la ciberseguridad (la SI). Y cuando decimos bien es organizar de una manera efectiva y eficiente.

Se puede resumir por aquella regulación que te va a marcar las pautas de lo que debe cumplir tu tecnología en concepto de seguridad.

Es en el ámbito de la SI donde se enmarcan el ENS, la ISO27002, el NIS2 o el RGPD, … aunque podrías marcar tus propios requisitos SI.

Por que con MADAC se diseña y construye de manera trasversal para todo el SGSI (tanto el Sistema de Gestión como la parte de Seguridad de la Información) para que encaje y el SG traccione al SI (o/y a los SI) que necesites cumplir.

MADAC tiene pautado y estandarizado cómo diseñar, construir y mantener un SG que permita a su vez transformar la tecnología en tecnología segura (que es lo que se busca con la SI).

Es la única que hay. No tiene sentido usar un cuchillo que cada vez que lo utilizamos nos hace más daño que el beneficio que tiene usarlo. La fusión nuclear es una tecnología mucho más potente que la fisión nuclear, pero no se usa porque no es segura. No es «tecnología segura».

Lo mismo ocurre en el ámbito de internet. Usar una tecnología que pone en riesgo cierto tu negocio por una mala gestión o mantenimiento es como dispararse en el pie antes de una carrera. No parece del todo inteligente. Recuerda que los ciberdelincuentes marcan el ritmo y la adaptación continua es, en realidad, una obligación si quieres continuar con tu actividad.

No es plan de explicaros aquí el detalle, pero en general son términos que utilizamos habitualmente en la metodología (como éxito visto, tecnología segura, dinamizar el comité o emplatar) para definir acciones concretas que ocurren dentro del proceso de integración.

Hemos tomado palabras prestadas de otros ámbitos (automóviles, restaurantes, notarías,… ) y hemos inventado alguna que otra porque el enfoque de MADAC es innovador incluso desde el punto de vista del uso del lenguaje. La estandarización implica que cada acción tenga palabras concretas que la definan para poder luego explicarlas, asimilarlas y que podáis ponerlas en práctica.

Es la manera de graficar, es decir presentar visualmente, el comportamiento de la entidad respecto al tiempo y tomando como referencia una legislación concreta. Estableciendo un símil es una gráfica que al estilo de las acciones de la bolsa te da un indicador claro de la fortaleza de la entidad. A casi nadie le interesa cómo se calcula el IBEX, pero se toman decisiones en base a su comportamiento. Con MADAC podemos graficar ese comportamiento (de una manera coherente, repetible y objetiva) que ayuda claramente a Gerencia a valorar el riesgo que emana del uso de la tecnología.

Cumplir una legislación no suele ser un objetivo en sí mismo. Es algo que hay que conseguir para poder presentarse a concursos de entidades públicas o porque desde el punto de vista de las ventas nos puede abrir puertas, así que el objetivo en realidad es otro. MADAC está planteado para que obtener una certificación (es decir, pasar una auditoría externa, por ejemplo) sea una consecuencia lógica de hacer las cosas bien. Algo que viene de añadido y no un drama cada vez que se acerca el momento de que el auditor venga de visita.

Si nos pusiéramos a valorar cada riesgo de vivir la vida, la vida misma sería un infierno. Si no confiáramos en que el que lleva el uniforme de policía es realmente policía o la médico es una médico de verdad, pues las sociedades no avanzarían. Así que confiar está bien.

Pero en los tiempos que corren, ser CEO y tener datos certeros que te permitan concluir que la tecnología que se usa en tu organización, de la que depende directamente la viabilidad de la empresa, está bien gestionada y es segura y que no hay que preocuparse de nada porque está todo controlado es un brindis al sol.

Así que lo habitual es que los CEOs y Gerencias en general «necesiten confiar» en que sus sistema de información están bien gestionados. Igual no confían, pero no tienen más opción que confiar. Y confiar a la fuerza, no es confiar.