lunes, 1 de junio de 2009

Evaluación de Seguridad entregada a Obama

La semana pasada se dio a conocer el documento llamado "Cyberspace Policy Review", un análisis del estado de la seguridad de la infraestructura informática de los EUA y que fue entregado al Presidente de aquella nación; plantea también el plan de acción a seguir. Al menos en el papel, parece que ahora sí va (más) en serio.

Aunque algunos han criticado el documento por ser muy general, yo pienso que la idea es precisamente que sea general ya que se trata de delinear la estrategia a seguir, es la intención presidencial de preocuparse por la seguridad, o como dijo Obama "our digital infrastructure, the networks and computers we depend on everyday, will be treated as they should be - as a strategic national asset".

El documento se ve bien, y lo que más me gustó son dos cuestiones fundamentales: a).- La seguridad es prioritaria: se le da a la seguridad de la información  el lugar que a mi juicio se merece y es muy, muy importante que un Presidente se dé cuenta de esto, es la alta dirección manifestando su prioritario interés por la infraestructura informática de una nación. No hay nada más reconfortante que saber que los altos mandos entienden la sensibilidad de lo que está en juego, que entienden el valor de la información que se maneja en redes y sistemas. No hay necesidad de convencerlos, ya lo están. B).- En segundo lugar, se manifiesta una necesidad de invertir en investigaciones académicas orientadas a encontrar nuevas tecnologías y metodologías de seguridad; siempre he estado convencido de la gran importancia que tiene el llamado "research", aquel que no es una simple recopilación de datos, sino la que es innovadora y propone nuevos temas en el campo de la seguridad. Será fascinante ver que esto se cumpla y se le dé un empuje a la investigación.

Por otro lado y si es que la intención en papel se traduce en hechos, serán buenos días para las empresas dedicadas a proveer seguridad (imaginen aquellas orientadas a crear código seguro, uno de los principales dolores de cabeza), también se pueden beneficiar los programas académicos que tengan investigación en seguridad y que sepan aprovechar posibles apoyos del gobierno; no olvidemos a personas que tengan grados académicos de seguridad, aptitudes en esta área, certificaciones y/o experiencia en el ramo. Ojalá y en este punto también se busquen a empresas del sector privado líderes en su ramo y no a los contratistas militares de siempre.

Finalmente, no deseo ser repetitivo, pero pienso que debemos trasladar lo que sucede en aquella nación a nuestras empresas o entidades de gobierno, sobre todo si se está en una posición de decisión. A ver, allá el Presidente Obama está preocupado por la seguridad de la información, ha mandado hacer un análisis y ha apoyado públicamente la estrategia a seguir. ¿Qué está pasando en nuestras propias trincheras? ¿Se sigue pensando en la seguridad como un gasto y no como una inversión? ¿Seguridad como estorbo y entorpecedor más que un habilitador? ¿Estamos esperando (como allá en EUA) que primero pase un incidente mayor (o varios) para que después venga por fin una entidad superior a marcar el rumbo? En fin, son sólo algunos pensamientos aleatorios a ver si sacudo algún "bit".  


Punto y a parte, enlisto los puntos que me parecieron importantes del documento en cuestión:

+ Reconoce la importancia de las tecnologías de información en la vida de la nación , empresas e individuos.

+ Se reconoce que la infraestructura digital de los EUA no es tan segura.

+ Reconocen que ya se tienen pérdidas económicas debido a crímenes en la red y también se establece el hecho de que ya se ha perdido información militar.

+ El gobierno de los EUA no está bien organizado para enfrentar estas amenazas.

+ Se deben de desarrollar políticas, procesos e integrar personas y tecnologías para mitigar los riesgos.

+ Cooperación pública y privada: la infraestructura depende de ambos; no se entiende el apoyo a la seguridad gubernamental sin el apoyo al sector privado; ambos deben de jalar parejo .

+ Diálogo nacional para concientizar al público en general sobre estas amenazas.

+ Apoyo a la investigación para crear nuevas tecnologías y enfrentar mejor la falta de seguridad en las infraestructuras.