Hola,
Acabo de leer una entrada en el blog de S21Sec, en la que se habla de gestión de seguridad. El título es ¿Gestionamos o tapamos agujeros?, y la firma es de Joan Ayerbe.
El texto gira en torno a algo que los gestores conocen bien, o deberían conocer bien. Ciclos PDCA, donde la mejora continua, siguiendo el espíritu que años ha introdujo la familia ISO 9000, se traduce en la mejora continua de los procesos de gestión de la seguridad, y como no podía ser de otro modo, en poder disponer de medios efectivos para evaluar la bondad de la implementación de la seguridad a lo largo y ancho de la organización.
Me parece un punto de vista acertado. Yo a los tapa agujeros los veo como personas que lejos de saber gestionar una organización, son inoperantes para gestionar absolutamente nada, y ni mucho menos, la seguridad de la información. Lo más triste es que muchos de estos presuntos gestores desconfían de los modelos de gestión, ya que es habitual que les suenen a chino, porque ni los conocen, ni los razonan ni los entienden ni entenderán, pero eso sí, se van permitiendo el lujo de ir publicando a los cuatro vientos que eso no sirve de nada, y lindezas similares. Así les va.
Joan concluye con dos aspectos interesantes, que cito textualmente:
1.- Coherencia y Equilibrio técnico y funcional: mediante la integración tecnológica y la compatibilidad de las distintas herramientas, así como el uso de estándares y soluciones abiertas frente a plataformas propietarias. Esta coherencia debe ser tanto a nivel tecnológico como funcional, dando soporte a los procedimientos, políticas, controles y auditorias que permita unificar criterios.
2.- Escalabilidad/Disponibilidad: que garantice el rendimiento ante anchos de banda crecientes, que permita el crecimiento e implantación de nuevos módulos, re-usabilidad de componentes y facilidad de gestión y monitorización.
La coherencia es fundamental, pero se torna crítica si hablamos de cohesionar los intereses de la gestión de la seguridad con la gestión corporativa. Los objetivos del negocio SIEMPRE son los primeros, y la seguridad que no está orientada al negocio no vale nada más que para tirarla a la basura. A los tapa agujeros este concepto les viene largo, y suelen estar emperrados en que la seguridad va por un lado, y al negocio que le rinda cuentas otro.
La escalabilidad y la disponibilidad tampoco son nada si no van acompañadas de cosas tan importantes como la confiabilidad de la plataforma, la integridad y la privacidad de los datos custodiados y lo más importante de todo: que las soluciones de seguridad permitan tomar decisiones a los gestores del negocio, concepto que nuevamente obvia por ignorancia el tapa agujeros. Una solución de seguridad que no me permita, como dueño de un negocio, dilucidar si estoy yendo o no por el buen camino, no me sirve de nada.
Como bien dice Joan, la seguridad es un proceso, y quien no entienda ese concepto tan básico, debería dedicarse a otras cosas. Me alegro de que S21Sec predique con el ejemplo, y no se dedique a tapar agujeros.
Un saludo, y buena semana para todos :)
Eres duro Sergio, seguro que con este post le has sacados mas de unas lagrimillas a alguno xD, concuerdo completamente contigo, pero para que la gestión de la seguridad y de la empresa vayan bien, es necesario que la gestión de la empresa sea buena.
Un saludo.
Muchos gestores de empresa son «capaces de ver» el negocio ( supuestamente ;-) ) : cómo vamos ahora, retorno, nuevas oportunidades, etc) …
…pero «no son capaces de ver» el RIESGO operativo y cómo afecta a su negocio. En el peor de los casos, ni siquiera se dejan asesorar.
Sobre este tema me encantan los razonamientos sobre la figura del «CISO» que hace Christian Byrnes quien es -o fué- un asesor de Gartner [just google]. Seguramente Sergio podría escribir todo un artículo sobre esto (te podría dar algunas referencias externas y texto propio). Me sentiría halagado ;-)
Tambien me gustan, aunque con otras perspectivas y tratamientos muy distintos, los ensayos sobre Psicología de la Seguridad de Bruce Schneier: percepción intuitiva del RIESGO, experimentos.
Así que esos gestores de empresa (esp. los de pequeña y mediana), típicamente:
(a) Perciben la SEGURIDAD como un GASTO. Así de simple.
El nuevo sistema de backup cuesta 120.000 euros + 30.000 de mantenimiento anual. Muy caro, no lo compran.
Si al año siguiente se corrompe una BD y dejan de facturar 600.000 euros … no ven la relación :-)))
Mi corolario: Plantéese como asesor de seguridad al director «coste de la seguridad, ¿COMPARADO con qué?»
Para el ejemplo (y de forma MUY simplificada) compare 150.000 con 600.000, no con CERO.
(b) Son proclives a gastar en SEGURIDAD más de forma REACTIVA que PROACTIVA. Esto suena a tapar agujeros ;-)
Inclusive son REACTIVOS en otros aspectos, sean de seguridad o no: formación, tecnología, comunicación !!
(c) un largo etcétera
Únicamente apuntar que la frase «Los objetivos del negocio SIEMPRE son los primeros», en muchas organizaciones es «Los objetivos del negocio SIEMPRE son los ÚNICOS». A día de hoy contemplar la seguridad de la información como un sistema de gestión, y consecuentemente, dotada de presupuesto, recursos, relevancia, etc. es como un chiste para muchas organizaciones. Por tanto, en ocasiones, y muy a su pesar, el «responsable» de la seguridad se ve abocado a tapar agujeros en lugar de gestionar.
B.Sword!?,
Sí, lo confieso, soy algo duro con este tipo de cuestiones, pero espero sinceramente que nadie haya soltado una lagrimilla, ya que no era la intención del comentario :)
jcbarreto,
Ando algo liado, pero intentaremos hacer un hueco para lo que comentas. No prometo nada :)
No te falta nada de razón cuando comentas que el coste hay que enfrentarlo a algo. Ese algo es normalmente entra en juego cuando se gestionan riesgos, ya que un riesgo cuya mitigación sea más costosa que el coste de sufrir una determinada amenaza que provoque un determinado en un determinado período de tiempo tiene que ser aceptado, o como mucho, minorado, pero lo que no se puede hacer es gastar 600.000 euros para mitigar un riesgo que produce un impacto de 1000 euros, de baja probabilidad, anualmente.
Es lo que predico siempre: orientación al riesgo.
EAM,
Efectivamente. Mal gestor es el que no dota a las áreas de Seguridad y TI suficientes recursos como para que éstos piensen en el negocio a la hora de actuar.
También es comprensible, como bien dices, que si los dueños del negocio no ponen recursos, a duras penas los de Seguridad o TI podrán gestionar: tendrán que ir tapando agujeros. Contra estos no cargo, ya que están limitados. La crítica es para los que sí tienen recursos, y los aplican sin criterio y sin pensar en el negocio.
Un saludo a todos, y gracias por las aportaciones :)
Había leido el artículo de S21Sec y comparto plenamente tus opiniones. Es curioso, pero en este mundillo de la seguridad parece haber unanimidad respecto a la solución «de gestión» que pasa por un marco basado en el PDCA y el seguimiento de indicadores y métricas.
A propósito de esto último, el INTECO y dentro de éste, el Observatorio de Seguridad de la Información está proporcionando indicadores del estado de la situación.
Me he animado a hacer algunas reflexiones en el post
http://seguridad-de-la-informacion.blogspot.com/2007/10/los-datos-revelan-lo-preocupante-de-la.html aunque me gustaría que la interpretación de los datos fuera objeto de análisis de más conocedores del mundillo para ver si se consensúan las mismas «malas» sensaciones.
Un saludo
Hola a todos, soy nueva en este blog pero este tema me interesa bastante. Yo creo que gracias a la LOPD y a algunos articulos de prensa que han salido recientemente, se empieza a notar un mayor respecto por la seguridad en las empresas.
Y en mi trabajo más que problemas a la hora de invertir dinero en seguridad me encuentro con una resistencia al cambio en departamentos claves como desarrollo o sistemas que hace que, una vez aprobado el presupuesto para un IPS por ejemplo no se pueda poner en marcha por el miedo a que las cosas dejen de funcionar.
Javier,
Si a Toyota le fue bien con el modelo PDCA en los orígenes de la calidad, allá cuando se conocía como Calidad Total (TQM), ¿por qué ibamos a reinventar la rueda?
En el primer caso, la calidad y el cliente se sitúan como entro del mapa de procesos. En el caso de los ISMS, se trata de poner a los clientes y la seguridad en el centro de los procesos de TI, y alinearlos con el negocio.
Leeré tu texto «prestamente» :)
fina_y_segura,
Bienvenida a la que debes considerar tu casa.
Lo más triste es que la LOPD es un margo regulatorio, y por tanto de obligado cumplimiento. Es decir, la Seguridad de la Información no ha manado «naturalmente», sino que se ha tenido que empezar a meter a calzador mediante regulación legal.
Y eso, aunque útil, entristece. Hay que seguir apostando por la adopción natural de la seguridad.
Sobre lo que comentas sobre el IPS y esas cosillas, pues qué me vas a contar. La resistencia al cambio es siempre un escollo organizativo mayúsuculo y es mucho más difícil de vencer. Eso nos daría para otro largo debate :)
Un saludo ;)
(c) un largo etcétera
Habéis puesto el dedo en la llaga con un aspecto que se está demostrando como «patrón de comportamiento empresarial», en el terreno de la seguridad:
Se empiezan a adoptar medidas de seguridad por obligaciones legales (ej: LOPD en España), más que por la vía «deseada» (*), es decir, por necesidades del negocio, cubrir riesgos reales.
(*) Variación del término «natural» de fina_y_segura :-)
Está en la «naturaleza humana» ser ‘REACTIVOS’ en muchos aspectos….
Ej: la póliza de seguro del coche. La tenemos casi todos por obligación legal, o por reconocimiento de una necesidad. Si no fuera obligatorio: ¿cuántos tendrían póliza? ¿cuántos se habrían arruinado tras la demanda por un accidente y/o las facturas de hospital? y lo lamentarían a posteriori, no haber adoptado esta «medida de seguridad» (simple póliza, para el ejemplo).
…y las decisiones de una empresa (adopción de medidas de seguridad) no van a ser [estadísticamente] una excepción.
(como vosotros, me gustaría que *no* fuera así ;-)
Así que ésta es una de las vías reales de adopción de medidas de seguridad -> LEY, luego -> SEGURIDAD.
errata: «…no por reconocimiento de una necesidad» ;-)
Lo que esta claro es que la aproximacion que cada empresa realice a la implantacion de una gestion de la seguridad es vital para determinar el exito de la misma.
No son pocas las empresas que deciden implantar un SGSI por la opción que esto les proporciona para optar a consursos publicos o ayudas/subvenciones que suponen una buena fuente de ingresos. En estos casos el SGSI supone un «coste del proyecto» más que una solución de gestión corporativa.
Aun en estos casos puede que el apoyo de la direccion sea indisoluble para hacer bien las cosas, pero en la mayoria de los casos esto no suele ser asi y el gasto en seguridad suele ser una cuestion marginal para los objetivos de negocio.
rrc