Integración de proyectos de seguridad en proyectos empresariales

Hola,

Me he bajado el paper del SANS Successfully Building Security into Business Projects, y tras echarle un ojo, he decidido hablar un poco del tema ;)

Sobre lo que contiene el documento, poco que decir. Son 37 páginas, y trata asuntos importantes, como la cultura organizativa, las buenas prácticas, en definitiva, las mejores maneras de «vender» la seguridad dentro de las organizaciones, para que las implementaciones sean rentables y tendentes al nulo impacto en términos relacionados con el normal desenvolvimiento de las operaciones primarias de la empresa. Bien merece una lectura.

Sobre esto hay mucha literatura escrita, y hay muchas teorías. Yo apoyo la corriente principal, que es aquella que nos dice que la seguridad es un proceso, y que como tal, debe estar alineada con los procesos primarios de la empresa, buscando la mejora continua sin entorpecer las operaciones principales, que son las que a la larga, y cuando se realiza una correcta explotación, provocan que la empresa genere beneficios.

Por desgracia, es frecuente encontrar, tanto en consultoría como en auditoría, proyectos consultivos e informes de auditoría que proponen medidas de mejora que no tienen en cuenta los procesos principales de la organización, y que por tanto, a buen seguro, serán proyectos brillantes considerados de modo individual, pero quizás negativos o inadecuados si consideramos la amalgama de procesos completa.

Imaginemos una empresa donde hay un aplicativo host escrito en Cobol para gestionar medios de pago en oficinas bancarias, a través de terminales 3270. El objetivo principal de ese aplicativo, alineado con el negocio, bien podría ser la maximización de las ventas de medios de pago. Otros objetivos pueden ser la reducción de tiempos de gestión, y por qué no, proporcionar a los sistemas CRM información para futuras ventas. En todo caso, los objetivos principales serán de negocio, y no de seguridad, si bien, como es normal, es deseable que se cubran estos últimos igualmente.

Si un proyecto de consultoría o un informe de auditoría propone acciones para mejorar, por ejemplo, el control de acceso, qué duda cabe que esa mejora tiene, forzosamente, que seguir permitiendo la gestión óptima de los medios de pago. Cualquier acción propuesta que no permita seguir las operaciones de gestión de manera adecuada no será una buena acción de auditoría/consultoría en términos globales. No ganamos nada si mejoramos el control de acceso, y por otro lado, entorpecemos la gestión eficiente.

Este es sólo un ejemplo de lo cuidadosos que hay que ser cuando realizamos acciones de mejora en la seguridad de los procesos empresariales. Esta consideración es precisamente el talón de Aquiles de los procesos consultivos y de auditoría, ya que es extremadamente frecuente que las acciones emanen de profesionales que no conocen con la suficiente profundidad los procesos organizativos, y que se van a limitar, siguiendo con el ejemplo, a proponer acciones para mejorar aisladamente el control de acceso de un aplicativo, pero que no mirarán más allá, y no sabrán interpretar si esa mejora atómica impacta o no en la producción y los procesos operativos primarios de una organización.

La única manera de evitar estas interacciones no deseadas es confiar la consultoría y auditoría a profesionales que tengan, inexorablemente, conocimiento completo de los procesos empresariales a los que da servicio la infraestructura de seguridad. Solicitar información sobre la experiencia previa y los conocimientos organizativos y procedimentales de un sector de actividad debería ser siempre parte de los requisitos informativos que emitan los oferentes a los interesados en la prestación de servicios de seguridad.

En ausencia de conocimiento de los procesos, no existen garantías de que los proyectos de seguridad se integren en los procesos organizativos, con lo que el riesgo de impacto y de inadecuación de las medidas se incrementa notablemente. En otras palabras, pasaría lo mismo que si confiamos la revisión completa de un coche a un mecánico especializado sólo en neumáticos: lo más normal es que los neumáticos sean excelentes, pero que la revisión completa del coche sea inadecuada, incompleta o errónea.

Un saludo,

4 comentarios sobre “Integración de proyectos de seguridad en proyectos empresariales

  1. Totalmente de acuerdo con el artículo. Cualquier medida de seguridad propuesta que no este alineada con el negocio se convertirá en una médida completamente ineficaz ya que probablemente dejará de ser mantenida al cabo de poco tiempo. Además de exigir la experiencia/conocimiento de negocio que mencionas, es necesario afrontar los proyectos desde esta perspectiva de negocio y en muchos casos, el crear equipos conjuntos de consultores/auditores y personal de la empresa cliente.

    Felicidades por la web y saludos.

Comentarios cerrados.