martes, 13 de noviembre de 2012

Brecha de Seguridad, acortando distancias

Este viernes estaremos debatiendo en el Internet Meeting Point sobre un tema muy interesante, la seguridad en tu empresa ¿Tienes tus datos a salvo?

Un tema muy extenso del que podríamos estar hablando durante días, con muchos matices y en el que influyen demasiados factores, un amplio abanico de escenarios: seguridad web, seguridad interna, políticas de seguridad, riesgos basados en la tecnología y asociados a los usuarios internos, malware, ataques dirigidos, etc.

Todos ellos desde cada una de las perspectivas de protección de la información, confidencialidad, integridad y disponibilidad además de las necesidades de la empresa, el compromiso de la dirección de esta con la seguridad (algo indispensable) y por supuesto el aspecto económico. Pero todo esto lo dejaremos para la mesa redonda del día 16, también podréis verla en streaming.

Hoy quiero hablar de otro problema que en mi opinión influye considerablemente en la seguridad informática, y es el aspecto social, la comunicación entre profesionales y cómo influye esto en la seguridad. 

Seguramente si en tecnología no tienes un perfil técnico “alguna vez” te encontrarías en la situación de que alguien que viene a solucionarte un problema con el equipo te trata “en el mejor de los casos” como si fueras un niño pequeño.

Desde el otro lado de la moneda si eres administrador de sistemas o prestas soporte técnico “alguna vez” el usuario “en el mejor de los casos” ignora ese procedimiento que le indicaste 150 veces o no presta atención a esa forma de solucionarlo que tratas de enseñarle.

Uno de los grandes problemas de seguridad, a mi entender es que esa brecha de comunicación también existe entre los profesionales de la seguridad informática y los responsables de los distintos departamentos de la empresa.
  • La Alta Dirección en un mercado cada vez más competitivo trabaja en un sistema de tiempo-coste-resultado-beneficio, un modelo perfectamente lógico en el que el objetivo de cualquier empresa es ganar dinero. Pero para valorar de forma correcta la seguridad informática la percepción del riesgo debe ser real, y ahí radica el problema.
  • Los Profesionales Informáticos desde mi punto de vista, son uno de los gremios más maltratados laboralmente, los tiempos de entrega de los proyectos de producción en la mayor parte de los casos son ridículos y la medida productividad/sueldo es insultante. Es lógico que con este panorama y las exigencias diarias la preocupación de un programador sea resultado rápido y que funcione. Cualquier sugerencia de comprobación de errores o depuración de código es vista como un retraso en el proyecto. Las empresas tampoco invierten en la formación de seguridad de los desarrolladores profesionales, que saben mucho y tienen años de experiencia pero muchas veces no tienen una percepción adecuada sobre los riesgos de seguridad y formación de como mitigarlos.
  • El Departamento técnico trabaja de forma transparente para el resto de sus compañeros, es decir, si realiza bien su trabajo todo funciona (lo más habitual) y cuando algún servicio de la empresa falla es cuando el administrador está haciendo “mal su trabajo”. Esta pauta demasiado extendida convierte a los departamentos técnicos en profesionales que se preocupan de que el sistema este operativo “a toda costa, a cualquier precio” incluso si hay que apagar los firewall. Además el sistema con el paso del tiempo, y pocos o ningún recurso termina siendo un inmenso conjunto de parches, apaños y tecnologías sin documentar que de “alguna forma misteriosa funcionan”. En muchos casos estos profesionales se toman como algo personal las recomendaciones y nuevas configuraciones propuestas por el equipo de seguridad.

La Solución a todos estos problemas es compleja, y parte de la responsabilidad de esta situación sin duda es de los propios profesionales de seguridad. Lo que a mi entender está claro es que mientras no solucionemos este tipo de comportamientos para trabajar todos como equipo, se crearan brechas de seguridad, protocolos que no se cumplen, procesos que no se hacen y proyectos que no se realizan.

Todos Perdemos el Malware Gana!!

Seguridad a lo Jabalí para Todos!!

2 comentarios:

  1. No podría estar más de acuerdo. En mi empresa yo me ocupo tanto del departamento técnico como de la parte de seguridad, pero cada vez que intento aplicar una medida para prevenir algún posible agujero, sé que me enfrento a 1 o 2 meses de quejas, malos modos y gritos.

    ResponderEliminar
    Respuestas
    1. Hay que empezar a demostrar que la seguridad es una inversion no un gasto o molestia, pero lo tenemos dificil XD

      Eliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias