lunes, 11 de abril de 2011

No me lo pongas bonito.


Pregúntenle a un administrador de TI si quiere que su infraestructura sea segura. No te va a decir directamente que “no” porque sería políticamente incorrecto. Pero todo administrador de TI en una empresa sabe que “seguridad” es sinónimo de “trabajo”…y saben? No quieren tener más trabajo del que ya tienen. Sucede en la mayoría de las organizaciones, aquí y en China.

Escucho por ahí que lo de hoy es integrar a la seguridad en los procesos y actividades de las áreas de TI…algo así como integrar calidad en los procesos productivos de una compañía (ante todo calidad vs todo con calidad). Igualmente, es deseable que la nueva TI ya salga con seguridad (esa nueva red inalámbrica, ese nuevo servidor, ese cambio en la infraestructura). Todo con seguridad.

¿Pero saben? La seguridad implica trabajo extra…pero shhh; no se lo digan a nadie. Operar herramientas o incorporar nuevas actividades a un procedimiento implica que como administrador de TI vas a tener chamba extra. Y quiero conocer a un cuate de TI que te diga que le sobra tiempo “para eso de la seguridad” y que con mucho gusto.

Si, ya sé. La alta dirección dirán. A cada rato nos dicen que para empujar la seguridad “hay que tener el apoyo de la alta dirección”. Traducción: que esa alta dirección los esté arreando frecuentemente por medio de la revisión de métricas mensuales o el avance de proyectos. Porque con una junta “ejecutiva” donde se otorgue apoyo a la seguridad tal vez no baste para que las áreas de TI jalen parejo en su día a día; seguramente ante la “alta dirección” te dirán que sí y se verán cabecitas asintiendo sutilmente. Pero una vez que salen de la junta, quiero ver que los pongas a trabajar en los temas de seguridad. ¿Pasa así en todas partes? Afortunadamente no, pero estoy describiendo un panorama bastante común.

Les podrás decir que los esfuerzos en pro de la seguridad son precisamente para proteger la información y la infraestructura. ¿Respuesta? “No me lo pongas bonito, porque seguridad para mí es más trabajo”. ¿Y saben? Tienen toda la razón. La seguridad no es gratuita…hasta cambiar una manera de operar (controles administrativos) implica un esfuerzo extra que antes no se tenía considerado.

Hay dos maneras efectivas de cambiar esa actitud de las áreas de TI. La más amable es con el seguimiento puntual y frecuente de la alta dirección que ya comentamos (y subrayo f-r-e-c-u-e-n-t-e). La menos amable es cuando sucede un incidente de seguridad que te rompe la…seguridad (Epsilon, Stuxnet, RSA, etc etc); entonces sí todo mundo en la empresa a ponerse las pilas con eso de la seguridad porque el mero mero ya se puso rudo y ya hasta despidió a un par. ¿Hay otras maneras menos dolorosas de cambiar actitudes en la práctica? Según yo…no. Tal vez realizando demos de seguridad de lo que “podría pasar”…o mejor aún un pentest; pero hay que saber a quién le presentan los resultados y que los alcances sean de esos que mueven actitudes.

¿Y saben? La seguridad en una empresa no es andar ahí no más con el Metasploit y andar jugando con el último hack, viendo cómo se puede hackear el sistema de un auto o enterarse de que unos pelados se fregaron a RSA para luego tuitear del asunto a gusto y tendido. En una empresa hay que estar metiendo el asunto de la seguridad en N variables: desde el administrador de TI, pasando por los usuarios y convenciendo a los ejecutivos de que eso de la seguridad sí importa; diciéndole y demostrándole al desarrollador que su código está chafa… y un largo etc. Es decir, estamos hablando de un asunto “humano” y no tecnológico.

La seguridad cuesta. Cuesta dinero. Cuesta tiempo y esfuerzo. Cuesta más trabajo del habitual. Y algo que cuesta y que no se ven sus beneficios tan inmediatos/tangibles es difícil de vender…y difícil de comprar. ¿Cuánto dinero hay que aventarles a esos de seguridad y sus herramientitas? ¿Cuántos fulanos de seguridad son necesarios? ¿Cuánto tiempo y esfuerzo deben las áreas de TI invertir en seguridad? ¿Cuánto es permitido molestar a los usuarios por aquello de que “ellos son parte de la seguridad”? Preguntas difíciles.

Mira, al final esto es un balance. Ninguna empresa se dedica a estar segura sino más bien a hacer negocio (y ganar dinero). Pero tampoco debemos dejar a la seguridad de lado porque resulta que siempre se tienen otras prioridades. Y lo peor es que en la práctica no encontraremos estos justos balances tan fácilmente.

1 comentario:

Sancho dijo...

Quijote:

Gracias por las dos tallas y el corte de "pelo". Que bueno que te vas de viaje.