La desconfianza no es buena en general para las relaciones humanas, pero es indispensable para la gestión de la seguridad de la información.
Siempre considere que un buen atributo de un recurso orientado a seguridad es la condición de paranoico. Por supuesto no estamos hablando del grado patológico, sino de ese matiz que uno incorpora a la personalidad sin que lo haga desbarrancarse. Hay quienes son buenos porque son obsesivos, otros porque pueden atacar múltiples actividades simultáneamente, etc.
En este rubro yo sugiero la paranoia.
Como contrapartida, y sobre todo en nuestra forma latina de ver el mundo, es mucho mas usual la confianza, no solo la confianza personal sino la confianza depositada en hardware, sistemas operativos, lenguajes, marcas de todo tipo, etc. Esta visión del mundo donde cualquier hincha de nuestro equipo de fútbol, aunque sea asesino y violador, es un buen muchacho invade cotidianamente nuestro trabajo.
Quien administra la seguridad con parámetros basados en la confianza solo esta bajando barreras arbitrariamente. Todos los usuarios son iguales ante la ley independientemente del cargo y las responsabilidades que tengan depositadas. No hay tal cosa como: privilegios de los recursos de Sistemas por ejemplo, y existen numerosos ejemplos de gestiones totalmente fluidas aun en casos de excepción sin que se violen los esquemas de aseguramiento.
Sin embargo, esta conducta seguramente generará problemas a los encargados de auditar y administrar el cumplimiento de las pautas de aseguramiento. Sus escritorios tendrán una fila permanente de colegas reclamando excepciones o "vista gorda" basados en razones de amistad, de trayectoria impecable dentro de la organización, de interferencia en la concreción de su trabajo, etc. Además vendrán las presiones directas o indirectas basadas en la escala jerárquica de la compañía, y ni hablar si se trata de parientes cercanos o lejanos de los altos directivos.
Los responsables de la seguridad deberán abstraerse de todos estos condicionamientos, y mirar siempre todos y cada uno de los casos con total objetividad y prescindencia (incluyendo las habituales prácticas de explotación de debilidades basadas en la estética femenina o masculina, o en el tráfico ilegal de golosinas).
En definitiva hay que recordar siempre que la organización nos ha puesto en ese rol porque debe cumplirse, y que esta será insegura de la peor manera si no cumplimos adecuadamente con la función asignada: La de ser inseguro creyendo ser seguro.
Fuente: Seccuracy
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!