domingo, 21 de febrero de 2010

La Seguridad no es tu Trabajo.


¿Quién es el responsable por la seguridad de la información? Ciertamente no eres tú, porque para eso hay un Departamento de Seguridad Informática que se ocupa, preocupa y responsabiliza por todo “eso” de la seguridad.

¿Qué opinan algunos de los grupos de personas dentro de una corporación respecto a “eso” de la seguridad?

Administradores: su trabajo es administrar los servidores para que den el servicio esperado. Su trabajo es hacer migraciones “transparentes” para los usuarios y hacerse cargo de ciertas aplicaciones que ayudan a administrar sus servidores.

Su trabajo, por otra parte, no es mejorar ni mantener la seguridad de sus servidores y tampoco de la información que en ellos reside. Eso no vende, no lo ve la Alta Dirección, no les dan una felicitación ni incentivo por actividades que no son parte de sus funciones. “Para eso está Seguridad Informática”.

Usuarios: su trabajo es redactar documentos para entregar ese análisis solicitado; también están los cálculos en Excel para llevar el control de proveedores o de las ventas mensuales. Áreas legales, contables, de mercadotecnia o de ventas.

Todos con “chamba” propia, con niveles de desempeño qué cumplir, proyectos a realizar. No hay tiempo para preocuparse por “eso” de la seguridad de la información. No están bien enterados de lo que se debe o no hacer para mantener la seguridad de los documentos que manejan; de hecho no es algo que esté en su radar porque no es parte de sus funciones.

Quieren trabajar, quieren que se les habilite JavaScript en Adobe Reader, y en Internet Explorer habilitar ActiveX. Quieren recibir correos sin filtros porque “no vaya a ser que se pierda un correo importante”; quieren Flash, quieren abrir adjuntos: “no vaya a ser que no pueda ver ‘esas’ fotos que vienen en PowerPoint”.

Quieren libertad, no restricciones ni alentamientos por “ese antivirus”. No quieren ser molestados. Quieren entrar a redes sociales, usar chat y ver todas las páginas deseadas. Quieren quitarse las ataduras, las limitaciones y restricciones para trabajar “como Dios manda”. Claro, porque “para eso está Seguridad Informática”.

Alta Dirección: hay tres tipos de alta dirección. La que realmente le interesa la seguridad de la información, la que no le interesa y/o lo ve como un gasto, y la que aparentemente le interesa (tal vez por moda o porque se siente mal de no hacerlo) pero que realmente no demuestra acciones concretas, contundentes y frecuentes en pro de mantener un nivel aceptable de seguridad dentro de la corporación.

Y aguas, no estoy diciendo que deban de ser unos geeks de seguridad; la alta dirección está para ver que el negocio jale, que obtenga ganancias y para marcar el rumbo. Pero vaya, darle seguimiento a “eso” de la seguridad una hora cada dos meses y/o asegurarse –al menos- de poner a alguien (con rango en el organigrama) que sepa lo que hace en cuestión de seguridad de la información, no le hace mal a nadie, creo.

¿Asunto de todos?

Lo particular de la seguridad es que es de esas “cosas” donde todos participan de una manera u otra. Por ejemplo, seguir las normas corporativas o asistir a cursos de capacitación. Si usuarios, administradores o el “cuate” encargado de las redes ignora o no le interesa seguir una actitud “segura”, es ahí donde veremos a los USB perdidos con datos corporativos, computadoras botnet, ataques de inyección de código SQL para extraer el contenido de las bases de datos o un exploit para obtener información importante (caso Google-China). ¿Mantener un nivel aceptable en la seguridad de la información es tarea de todos de alguna manera u otra?

¿Cómo hacer que la seguridad sea parte de las funciones de los integrantes de una organización?

Hay dos opciones: por la buena y por la mala (o una combinación de ambas). Por la buena es usando cursos y campañas de “security awareness”, instando a las personas a que cambien sus hábitos y actitudes por el bien de la seguridad de la información. Por la mala y aunque sea una propuesta desagradable (no me odien), es básicamente sancionar o despedir al personal que haya violado una política de seguridad o que haya expuesto a la corporación a un riesgo de seguridad. Cuando despides a alguien por estos motivos, se pone el ejemplo y de pronto “eso” de la seguridad se vuelve parte de las funciones y del trabajo; porque ahora sí es del interés de los empleados proteger la información (o bien, la infraestructura a su cargo) ya que si no fuera así, básica y sencillamente, podrían ser despedidos; así de crudo.

Conclusiones.

Las TI son un habilitador, mientras que la seguridad restringe. Las TI son “palpables” y percibimos su utilidad; sin embargo cuando la seguridad funciona no la “vemos” ni apreciamos, pero cuando falla entonces nos damos cuenta de que está ahí y nos quejamos. Dentro de una empresa, cada departamento tiene una agenda y trabajo qué cumplir, sin olvidar la atención a cuestiones políticas internas qué cuidar. Al final de cuentas, no nos debería de preocupar, porque supongo que “para eso está Seguridad Informática”, cierto?

Nota: respondiendo a la pregunta inicial: ¿quién es el responsable por la seguridad de la información? Todos, aunque sea de manera indirecta; si no les gusta la palabra “responsable” favor de sustituirla para que quede algo a su gusto como ¿Quién debe colaborar en la…? ¿Quién debe participar por…?

Nota 2: en este artículo asumo que tienes un área de seguridad informática en la empresa o alguien dentro de Informática que asume esa función. Si no es así, tu situación es peor de lo que pensaba.