domingo, 18 de abril de 2010

La respuesta es NO.


“¿Podemos arrancar el proyecto de redes inalámbricas?” “¿Podemos conectarnos vía red con nuestro socio comercial?” “¿Podemos dar a nuestros clientes la opción de consulta en línea?”

Las tecnologías de información han pasado de ser un área tecnológica a una de negocio ya que funge como habilitadora de los objetivos que tiene una compañía. Esto ha afectado también al área de seguridad de la información que históricamente se ha centrado en la parte de seguridad informática y ya de manera más reciente se ha centrado en la protección de la “información” como tal. Varias áreas de seguridad continúan con el viejo paradigma de responder “No” a todo proyecto nuevo porque es ; se han negado a ser un habilitador y un factor que haga mitigar el riesgo en lugar de simplemente evadirlo.

Siempre se pueden encontrar “buenas” razones para detener un nuevo proyecto porque es ; podremos encontrarnos con profesionales de seguridad de la información que preferirían apagar redes y equipos porque sólo así tienen un nivel de seguridad aceptable. Tienen que venir indicaciones de “allá arriba” para acallar las voces de y seguir adelante con el proyecto.

Controles compensatorios, mitigación del riesgo y habilitador del negocio deben de ser conceptos conocidos y dominados ampliamente por las áreas de seguridad de la información. Responder debe de dejar de ser la respuesta más usada y utilizarla cuando realmente sea necesaria.

Las áreas de seguridad deben de dejar de ser vistas como un impedimento o como obstáculo. Deben de caminar hacia respuestas como “Vamos a ver la manera de que se lleve a cabo”, “Existen controles compensatorios que de implementarse permitirían la puesta en marcha de esa red inalámbrica”, “Analicemos juntos el proyecto, creo que sin gastar dinero podemos fortalecer la seguridad”, “Integrémonos a tu grupo de trabajo para que el proyecto nazca ya con los controles necesarios”, “No te daremos más trabajo, de hecho nosotros haremos las actividades de mitigación del riesgo”.

La seguridad de la información es el medio para alcanzar una meta, no un fin en sí mismo. Tal vez ya muchas áreas de seguridad y su personal ya han entendido eso (y lo han hecho por años), bien por ellos. De no ser así, nunca es tarde para verse como habilitadores y dejar de dedicar el tiempo a crear interminables reglas, usar la política de seguridad para agregar obstáculos y responder “No” a cuanta solicitud llegue.

Hoy en día, pienso que no basta con ser experto o profesional de seguridad de la información y entender de desbordamientos de memoria, inyecciones de SQL, malware, cross-site scripting, web application fuzz testing o cross-site request forgery. También hay que entender bien el negocio y a lo que se dedica, cómo obtiene ganancias (ejemplo: necesidades del cliente) y cuáles son sus prioridades.

2 comentarios:

Fernando Alameda dijo...

Que tal Fausto!

Buenos puntos los que mencionas.

Creo que en gran parte todas esas respuestas negativas tienen que ver con la paranoia de la gente encargada de la seguridad de la información y me atrevo a decir que se debe a que no entienden ni priorizan las amenazas a las cuales están expuestos.

Escuchan red inalámbrica y comienzan a sudar frío. Aplicación web y en su mentecita se forma la imagen de un hacker maloso exprimiendo sus bases de datos.

Cuando un SGSI está funcionando como debe no queda más que ponerlo a prueba. Las preguntas que deben ser respondidas ante esos nuevos proyectos son:

1.- Qué información crítica manejaré en ese (o esos) proceso(s)?
2.- Qué amenazas se pueden aprovechar de él?
3.- Podemos mitigar los riesgos a un nivel aceptable?
3.- Cómo impacta al negocio?
5.- Estamos preparados para una contingencia de seguridad?

Entre otras más.

Debemos ante todo analizar el entorno y decidir si es factible, qué costo/beneficio implica... después de todo ese es nuestro trabajo, no sólo el negar áreas de oportunidad.

Saludos!

@FernandoAlameda

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Gracias por el comentario Fernando. Me pareció muy acertada tu lista de preguntas ante nuevos proyectos y sería de mucha ayuda que se les diera respuesta para poner en marcha nuevos proyectos; debería de ser la regla de "oro" y verlo como parte del proyecto, no como una cuestión aislada y a veces hasta molesta por personal de sistemas. Sl2.