“¿Podemos arrancar el proyecto de redes inalámbricas?”
Las tecnologías de información han pasado de ser un área tecnológica a una de negocio ya que funge como habilitadora de los objetivos que tiene una compañía. Esto ha afectado también al área de seguridad de la información que históricamente se ha centrado en la parte de seguridad informática y ya de manera más reciente se ha centrado en la protección de la “información” como tal. Varias áreas de seguridad continúan con el viejo paradigma de responder “No” a todo proyecto nuevo porque es
Siempre se pueden encontrar “buenas” razones para detener un nuevo proyecto porque es
Controles compensatorios, mitigación del riesgo y habilitador del negocio deben de ser conceptos conocidos y dominados ampliamente por las áreas de seguridad de la información. Responder
Las áreas de seguridad deben de dejar de ser vistas como un impedimento o como obstáculo. Deben de caminar hacia respuestas como “Vamos a ver la manera de que se lleve a cabo”, “Existen controles compensatorios que de implementarse permitirían la puesta en marcha de esa red inalámbrica”, “Analicemos juntos el proyecto, creo que sin gastar dinero podemos fortalecer la seguridad”, “Integrémonos a tu grupo de trabajo para que el proyecto nazca ya con los controles necesarios”, “No te daremos más trabajo, de hecho nosotros haremos las actividades de mitigación del riesgo”.
La seguridad de la información es el medio para alcanzar una meta, no un fin en sí mismo. Tal vez ya muchas áreas de seguridad y su personal ya han entendido eso (y lo han hecho por años), bien por ellos. De no ser así, nunca es tarde para verse como habilitadores y dejar de dedicar el tiempo a crear interminables reglas, usar la política de seguridad para agregar obstáculos y responder “No” a cuanta solicitud llegue.
Hoy en día, pienso que no basta con ser experto o profesional de seguridad de la información y entender de desbordamientos de memoria, inyecciones de SQL, malware, cross-site scripting, web application fuzz testing o cross-site request forgery. También hay que entender bien el negocio y a lo que se dedica, cómo obtiene ganancias (ejemplo: necesidades del cliente) y cuáles son sus prioridades.
2 comentarios:
Que tal Fausto!
Buenos puntos los que mencionas.
Creo que en gran parte todas esas respuestas negativas tienen que ver con la paranoia de la gente encargada de la seguridad de la información y me atrevo a decir que se debe a que no entienden ni priorizan las amenazas a las cuales están expuestos.
Escuchan red inalámbrica y comienzan a sudar frío. Aplicación web y en su mentecita se forma la imagen de un hacker maloso exprimiendo sus bases de datos.
Cuando un SGSI está funcionando como debe no queda más que ponerlo a prueba. Las preguntas que deben ser respondidas ante esos nuevos proyectos son:
1.- Qué información crítica manejaré en ese (o esos) proceso(s)?
2.- Qué amenazas se pueden aprovechar de él?
3.- Podemos mitigar los riesgos a un nivel aceptable?
3.- Cómo impacta al negocio?
5.- Estamos preparados para una contingencia de seguridad?
Entre otras más.
Debemos ante todo analizar el entorno y decidir si es factible, qué costo/beneficio implica... después de todo ese es nuestro trabajo, no sólo el negar áreas de oportunidad.
Saludos!
@FernandoAlameda
Gracias por el comentario Fernando. Me pareció muy acertada tu lista de preguntas ante nuevos proyectos y sería de mucha ayuda que se les diera respuesta para poner en marcha nuevos proyectos; debería de ser la regla de "oro" y verlo como parte del proyecto, no como una cuestión aislada y a veces hasta molesta por personal de sistemas. Sl2.
Publicar un comentario