¿Es la Seguridad un Desastre?
Después de el largo rato que me ha costado leer la crítica (PDF, Powerpoint) de Marcus J. Ranum, una persona con una larga e impresionante experiencia y sobre todo, imposible de contenerse a comentar las cosas que opina, me temo que lamentablemente tengo que estar de acuerdo con todo lo que expone, que basicamente se resume en la separación existente entre la Dirección de una empresa y la realidad de la Seguridad a la hora de analizar todos los riesgos cuando nos embarcamos en un nuevo proyecto.
Ranum pone como ejemplo la estrategia de la NASA (os recomiendo leer esta historia de Feynman, (con más detalle aquí) porque a muchos de vosotros os sonará vivir situaciones parecidas) y la separación que existe entre las expectativas de la Dirección y la realidad del asunto, o lo que es peor, entre el mundo de ciencia-ficción que se crea con la ayuda de las personas técnicas y su mensaje distorsionado, y la grave realidad que vivimos.
El problema a menudo reside en que la comunicación del mensaje no se hace con firmeza hacia arriba, con lo que para la Dirección es relativamente sencillo eludir cualquier tipo de comentario negativo que desaconseje el proyecto en cuestión (creo que, parece que, ...), con lo que ya no hace falta buscar un "comprador" para tu idea, sino que simplemente no hay razones claras y concisas que propongan la cancelación del proyecto. También es verdad que cuando sí que existen esas razones, es común buscar otro grupo al que le ilusione la idea para lanzarnos al ruedo (Ranum pone el ejemplo de que por ejemplo a Seguridad le parece mal, pero si se lo comenta a Marketing, le parece fabuloso).
Y aquí es donde entra en juego el Análisis de Riesgos, puesto que muchas veces se aceptan (no se eliminan o se mitigan) riesgos que son absolutamente innecesarios: poner el servidor donde guardo mis documentos confidenciales accesible por Internet es totalmente innecesario aunque luego ponga cortafuegos, IPS o todo lo que yo quiera. Muchas veces este riesgo va a ser aceptado por la Dirección, pero en el caso de desastre (en este caso robo de información), ¿quién va a responsabilizarse? Muchas veces el Análisis de Riesgos juega ese papel de "demonio" a la hora de intentar proteger nuestros activos: aceptar los riesgos no es tan bonito como parece.
La sensación es que es imposible ya reaccionar y que muchas de las decisiones que se tomaron en el pasado (incluso en la época de los 80) ya son imposibles de cambiar (y Ranum, de hecho, piensa así), pero en mi opinión, hay un atisbo de luz y puede que realmente no lleguen a ocurrir todas las desgracias que comenta, gracias principalmente a dos factores: la convergencia de Seguridad física y de la información, y el peso que gradualmente va ganando las decisiones en materia de Seguridad (ojo, por supuesto que sólo en muy pocos ámbitos). La incógnita que nos queda por despejar es saber si esas persona que están ganando peso en sus decisiones, a) tienen el sentido común necesario para no cometer los mismos errores, b) se rodea y confia en las personas que tiene a su alrededor para analizar con detalle todos los riesgos asociados.
Muchas veces decimos que el tiempo lo dirá, aunque en este caso ya lo estamos viendo, y por ahora lo que vemos es un futuro incierto con un pequeño atisbo de esperanza.
Autor: David Barroso
Fuente: S21sec e-crime
Ranum pone como ejemplo la estrategia de la NASA (os recomiendo leer esta historia de Feynman, (con más detalle aquí) porque a muchos de vosotros os sonará vivir situaciones parecidas) y la separación que existe entre las expectativas de la Dirección y la realidad del asunto, o lo que es peor, entre el mundo de ciencia-ficción que se crea con la ayuda de las personas técnicas y su mensaje distorsionado, y la grave realidad que vivimos.
El problema a menudo reside en que la comunicación del mensaje no se hace con firmeza hacia arriba, con lo que para la Dirección es relativamente sencillo eludir cualquier tipo de comentario negativo que desaconseje el proyecto en cuestión (creo que, parece que, ...), con lo que ya no hace falta buscar un "comprador" para tu idea, sino que simplemente no hay razones claras y concisas que propongan la cancelación del proyecto. También es verdad que cuando sí que existen esas razones, es común buscar otro grupo al que le ilusione la idea para lanzarnos al ruedo (Ranum pone el ejemplo de que por ejemplo a Seguridad le parece mal, pero si se lo comenta a Marketing, le parece fabuloso).
Y aquí es donde entra en juego el Análisis de Riesgos, puesto que muchas veces se aceptan (no se eliminan o se mitigan) riesgos que son absolutamente innecesarios: poner el servidor donde guardo mis documentos confidenciales accesible por Internet es totalmente innecesario aunque luego ponga cortafuegos, IPS o todo lo que yo quiera. Muchas veces este riesgo va a ser aceptado por la Dirección, pero en el caso de desastre (en este caso robo de información), ¿quién va a responsabilizarse? Muchas veces el Análisis de Riesgos juega ese papel de "demonio" a la hora de intentar proteger nuestros activos: aceptar los riesgos no es tan bonito como parece.
La sensación es que es imposible ya reaccionar y que muchas de las decisiones que se tomaron en el pasado (incluso en la época de los 80) ya son imposibles de cambiar (y Ranum, de hecho, piensa así), pero en mi opinión, hay un atisbo de luz y puede que realmente no lleguen a ocurrir todas las desgracias que comenta, gracias principalmente a dos factores: la convergencia de Seguridad física y de la información, y el peso que gradualmente va ganando las decisiones en materia de Seguridad (ojo, por supuesto que sólo en muy pocos ámbitos). La incógnita que nos queda por despejar es saber si esas persona que están ganando peso en sus decisiones, a) tienen el sentido común necesario para no cometer los mismos errores, b) se rodea y confia en las personas que tiene a su alrededor para analizar con detalle todos los riesgos asociados.
Muchas veces decimos que el tiempo lo dirá, aunque en este caso ya lo estamos viendo, y por ahora lo que vemos es un futuro incierto con un pequeño atisbo de esperanza.
Autor: David Barroso
Fuente: S21sec e-crime
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!