En muchas ocasiones los administradores me piden que evalúe
qué tal va la seguridad de sus sistemas. Este análisis es una de las más
complicados de efectuar, puesto que la referencia requiere de parámetros y
métricas. Cada cual maneja las suyas (dependen a veces de las cualidades
intrínsecas de la organización) y van en función de las condiciones existentes
e incluso de las circunstancias en determinados momentos.
En estos días estoy mejorando mi
propia experiencia para los procesos de análisis. Para ello estoy realizando
diversos diseños y proyectos (algunos muy enfocados al ENS), teniendo en cuenta
múltiples aspectos y de los que me ha resultado muy instructivo la lectura de
un libro que me han recomendado de Andre Jaquith: “Security Metrics: Replacing
Fear, Uncertainty and Doubt”. Se comenta en el libro que hay determinados
axiomas en los que herramos indefectiblemente cuando queremos establecer
parámetros para cuantificar la seguridad. Las ideas que se manejan son
transgresoras con determinados modelos de métrica y análisis de seguridad… pero
es que en esencia lleva mucha razón en sus planteamientos.
Hasta la fecha tenía en cuenta la
aplicación de los modelos convencionales para la gestión de seguridad en las
organizaciones, sin embargo los modelos teóricos no se ajustan bien a las
organizaciones, puesto que no pueden tratar las peculiaridades de las mismas y
a la larga se vuelven inflexibles. Entiendo que los modelos teóricos deben
dejar pasar a otros más prácticos que permitan ser más flexibles, y aunque
dependen más de la actuación de la organización, ofrecen mejores respuestas
cuando surge la necesidad de ser reactivo.
Definir un modelo ajustado a la
organización asumo que dependerá de la madurez de la organización y de un
proceso evolutivo, puesto que la mejor referencia de seguridad para una
empresas reside en ella misma. Los parámetros del mercado, aunque interesantes,
no son válidos puesto que no tiene en cuenta las peculiaridades de la misma.
Pueden ser tomados como referencia, pero nunca como objetivos taxativos a
alcanzar.
La madurez en los usos informáticos
de la propia organización ofrecen esa primera visión necesaria que permite
cuantificar y cualificar la seguridad de la organización. Desde Sidertia
estamos llevando a cabo campañas de concienciación de seguridad de
organizaciones con las colaboramos y que nos permiten ver por un lado la
evolución de la organización, pero sobre todo aconsejar en gran medida atendiendo
a las necesidades de negocio. Esta cuestión a veces queda muy lejos del alcance
de los departamentos de sistemas. Si la seguridad “somos todos” hay que contar
con todos y también, muy importante, el explicar a todos el “por qué de
determinadas cuestiones”. Esa visión permite ver realmente la seguridad que
espera el negocio y por lo tanto aplicar la métrica en función de la misma.
Cada organización es un mundo en sí
misma, y aunque determinados aspectos de la seguridad son comunes a todas (un
antivirus en un antivirus siempre), otros requieren desviar esfuerzos
(económicos y personales) en función de las necesidades. ¿Qué es mejor invertir
en un gran firewall perimetral o en que todo el mundo haga un uso más eficiente
de los sistemas? Pues seguro que esto depende del tipo de la organización.
Seguramente los dos son necesarios pero una empresa que tenga un gran número de
desplazados (como comerciales) y este sea una capa de negocio esencial deberá
maximizar la segunda de las opciones en detrimento de la primera.
Por lo tanto los axiomas que a
menudo se aplican para medir la seguridad de la organización, resultan caducos.
Cuando aprenderemos que un antivirus y un firewall no es la seguridad que
requieren las empresas a día de hoy. Una parte si, pero hay mucho más, que
sobre todo en España no se ve. Hablar de tú a tú con el negocio de la empresa
puede abrirte en gran medida a las inquietudes de la organización y hablarte de
sus necesidades.
No hay comentarios:
Publicar un comentario