martes, 1 de mayo de 2012

Doctor, ¿cuánto he madurado?


En muchas ocasiones los administradores me piden que evalúe qué tal va la seguridad de sus sistemas. Este análisis es una de las más complicados de efectuar, puesto que la referencia requiere de parámetros y métricas. Cada cual maneja las suyas (dependen a veces de las cualidades intrínsecas de la organización) y van en función de las condiciones existentes e incluso de las circunstancias en determinados momentos.

En estos días estoy mejorando mi propia experiencia para los procesos de análisis. Para ello estoy realizando diversos diseños y proyectos (algunos muy enfocados al ENS), teniendo en cuenta múltiples aspectos y de los que me ha resultado muy instructivo la lectura de un libro que me han recomendado de Andre Jaquith: “Security Metrics: Replacing Fear, Uncertainty and Doubt”. Se comenta en el libro que hay determinados axiomas en los que herramos indefectiblemente cuando queremos establecer parámetros para cuantificar la seguridad. Las ideas que se manejan son transgresoras con determinados modelos de métrica y análisis de seguridad… pero es que en esencia lleva mucha razón en sus planteamientos.

Hasta la fecha tenía en cuenta la aplicación de los modelos convencionales para la gestión de seguridad en las organizaciones, sin embargo los modelos teóricos no se ajustan bien a las organizaciones, puesto que no pueden tratar las peculiaridades de las mismas y a la larga se vuelven inflexibles. Entiendo que los modelos teóricos deben dejar pasar a otros más prácticos que permitan ser más flexibles, y aunque dependen más de la actuación de la organización, ofrecen mejores respuestas cuando surge la necesidad de ser reactivo.

Definir un modelo ajustado a la organización asumo que dependerá de la madurez de la organización y de un proceso evolutivo, puesto que la mejor referencia de seguridad para una empresas reside en ella misma. Los parámetros del mercado, aunque interesantes, no son válidos puesto que no tiene en cuenta las peculiaridades de la misma. Pueden ser tomados como referencia, pero nunca como objetivos taxativos a alcanzar.

La madurez en los usos informáticos de la propia organización ofrecen esa primera visión necesaria que permite cuantificar y cualificar la seguridad de la organización. Desde Sidertia estamos llevando a cabo campañas de concienciación de seguridad de organizaciones con las colaboramos y que nos permiten ver por un lado la evolución de la organización, pero sobre todo aconsejar en gran medida atendiendo a las necesidades de negocio. Esta cuestión a veces queda muy lejos del alcance de los departamentos de sistemas. Si la seguridad “somos todos” hay que contar con todos y también, muy importante, el explicar a todos el “por qué de determinadas cuestiones”. Esa visión permite ver realmente la seguridad que espera el negocio y por lo tanto aplicar la métrica en función de la misma.

Cada organización es un mundo en sí misma, y aunque determinados aspectos de la seguridad son comunes a todas (un antivirus en un antivirus siempre), otros requieren desviar esfuerzos (económicos y personales) en función de las necesidades. ¿Qué es mejor invertir en un gran firewall perimetral o en que todo el mundo haga un uso más eficiente de los sistemas? Pues seguro que esto depende del tipo de la organización. Seguramente los dos son necesarios pero una empresa que tenga un gran número de desplazados (como comerciales) y este sea una capa de negocio esencial deberá maximizar la segunda de las opciones en detrimento de la primera.

Por lo tanto los axiomas que a menudo se aplican para medir la seguridad de la organización, resultan caducos. Cuando aprenderemos que un antivirus y un firewall no es la seguridad que requieren las empresas a día de hoy. Una parte si, pero hay mucho más, que sobre todo en España no se ve. Hablar de tú a tú con el negocio de la empresa puede abrirte en gran medida a las inquietudes de la organización y hablarte de sus necesidades.

No hay comentarios: