domingo, 19 de diciembre de 2010

Recuento.


Llegaron las épocas navideñas y de año nuevo. Época preferida por muchos para reflexionar sobre el pasado y el futuro. ¿Sobre qué podrían meditar los encargados de la seguridad de la información desde el punto de vista laboral? Sin querer ser pretencioso ni soberbio, aquí enlisto algunos puntos incompletos a considerar y ver si los propósitos laborales 2011 se pueden ver influenciados por nuestras reflexiones y mejorar cómo nos ven y cómo vemos a los demás.


Habilitadores. A los profesionales de seguridad nos encanta decir “No”. A pesar de escuchar que debemos de ser habilitadores, seguimos diciendo “No” ante peticiones de una nueva red inalámbrica o el uso de una iPad para el trabajo. Cuando escuchamos que la razón de ser de una empresa no es la seguridad y que ésta apoya al negocio, parece que asentamos con la cabeza pero no logramos entender su significado.

La seguridad está para que el negocio haga lo que estime que es competitivo o necesario y la seguridad está para proteger ese iPad, ese nuevo sitio e-commerce o esos discos de estado sólido que el negocio considera importante tener.


FUD. En inglés significa “Fear, Uncertainty and Doubt”. En seguridad odiamos el FUD (al menos yo sí), pero a veces lo usamos hasta sin darnos cuenta. Cada segundo martes del mes exigimos que “x” parches sean aplicados inmediatamente que porque “ve cómo Microsoft los cataloga como muy críticos”. Claro, se nos olvida el firewall personal que tenemos y otros controles que mitigan ese riesgo.

O leemos “eso del Stuxnet” y mandamos bloquear todos los USB porque “mira lo que le hicieron a una planta nuclear”. Claro, se nos olvida que con bloquear la ejecución de cualquier archivo desde las USB y otro par de controles se puede mitigar el riesgo y seguir usando los USB.

Si no queremos al FUD, tampoco lo promovamos.


Binarios. “Si quieres dar protección a ese viejo Windows 2000 es necesario ponerle antivirus. No hay de otra. Lástima que no tenga suficiente espacio en memoria”. A veces nos cuesta trabajo encontrar opciones para proteger un bien y si no tiene antivirus está sin seguridad, así de sencillo. Si no está protegido con AES de 256 bits, simplemente no está protegido. Ante una justificación razonable, debemos de pensar en opciones viables de protección, en diversos niveles que ofrezcan ambientes seguros. Los controles compensatorios existen y hay que incorporarlos cuando damos opciones. Hay que ofrecer de dulce, chile, mole, pollo y puerco, por así decirlo.


Dóciles. Algunos otros son dóciles ante “la alta dirección” y se pasan de “habilitadores” porque aunque al inicio pueden decir “no”, fácilmente dicen “sí” cuando se les presiona un poco o de plano dicen “sí” a todo. Si eres el encargado de una planta nuclear y ves que tus sistemas se infectan por USB, es factible que te puedan atacar por esa vía. Si lo dices y no te hacen caso, vuélvelo a decir y esta vez trae armada una demo para que ese riesgo no sólo lo vean en PowerPoint, sino en vivo y directo. Una hack-demo vale más que mil slides.


Congruentes. ¿Hacemos lo que decimos? Como encargados de la seguridad en una empresa, en casa tenemos nuestro antivirus desactualizado? ¿Tenemos WEP en el ruteador? ¿En nuestra laptop contamos con Adobe Reader versión 8 y la última vez que aplicamos parches al SO fue hace 4 meses?

Hay que ser congruentes y si por ejemplo das consejos de cómo navegar de manera segura, tú mismo sigue ese mismo consejo, es lo menos que podemos hacer.


80-20. El 20% de tus actividades harán más por incrementar la seguridad de la empresa que el otro 80%. Los profesionales de seguridad no dirigen todos sus esfuerzos a proteger la información. Hay “n” actividades que quitan ese tiempo valioso.

Realiza un ejercicio de una semana y ve cuántas horas le dedicas a actividades que realmente estén encaminadas en un 100% a aumentar el nivel de la seguridad de un aspecto de la organización. Te sorprenderás. Trata de incrementar ese tiempo y que éste sea lo más efectivo posible.


Conclusiones.

No sólo de bebida y comida está hecha esta época. Si estás metido en esto de la “seguridad de la información” espero que alguna de estas reflexiones te haya hecho “click”; y si no fue así, piensa en otros puntos importantes: siempre es posible mejorar.

Si no estás metido en esto de la seguridad, bien te puede ayudar para entender un poco mejor algunos de los problemas y atascos a los que se enfrentan “esos de seguridad”.


Punto y aparte. ¿Mi mensaje navideño-año nuevo? Reflexiona sobre lo que personalmente lograste y lo que deseas para este 2011.

No te pongas propósitos banales o efímeros y no te llenes de “n” propósitos. Es mejor un par que sepas que son importantes y que puedes cumplir a lo largo de todo el 2011.

Yo te puedo colmar de buenos deseos, pero el o la que va a hacer posible eso que tanto deseas eres tú mismo, nadie más. Yo te puedo desear salud, felicidad y dinero; pero quien tiene que ejercitarse para tener salud eres tú; quien tiene que llevarse mejor con la familia y vecinos no soy yo; y quien debe de tener un plan de acción para conseguir más dinero serás tú mismo. Así es que mi deseo para ti es que desees cumplir tus anhelos y que tomes acción…como dicen por ahí: “a darle”.