Regular la seguridad

Hola,

Traigo hoy a la portada un tema que suele levantar polvareda, sobre todo cuando las comunidades técnica y no técnica de la seguridad opinan al respecto: certificaciones y regulación. Lo hago al hilo de una propuesta de Michael Chertoff, antiguo secretario de Homeland Security en la administración Bush.

La idea de Chertoff es básicamente hacer algo parecido a lo que hoy en día se hace con SoX: ponerle nombre y apellidos a los directivos que serán responsables de certificar qué han hecho para fortalecer la seguridad de su información. ¿Es esta una solución al problema? Posiblemente no por sí misma, aunque hay que reconocer que con todo lo malo que tiene SoX, ya que es costosa y algo anacrónica en cuanto a tecnología, algo se ha mejorado en lo que a su propósito inicial se refiere. No olvidemos que SoX no es una regulación de seguridad, sino financiera, aunque lógicamente tenga algunos controles tecnológicos como cualquier otro proceso empresarial moderno hoy en día. Aunque SoX sea vista sólo como un sumidero de euros por muchas organizaciones, al menos fija responsabilidades para quien estampe la firma en la información financiera de una organización, lo que debería estimular la necesidad de que esta información sea veraz y transparente si no queremos que el responsable acabe entre rejas.

Mi experiencia con los reguladores ha sido siempre sol y sombra. Los hay auténticamente enfocados y prácticos, solicitando con gran acierto medidas que sin duda refuerzan la seguridad de la información, y los hay absolutamente desorientados y desenfocados, exigiendo el cumplimiento de condiciones que llevan años sin ser revisadas, y que sólo sirven para acumular papel en lo alto de las mesas. Con los auditores, tres cuartos de lo mismo: desde profesionales incisivos que van al grano, aportando valor con soluciones constructivas y conociendo los entresijos tecnológicos, hasta despistados encorbatados que no saben vivir separados de su checklist y que nunca han tenido ni tendrán el suficiente fondo para comprender cómo se construye la seguridad en un entorno tecnológico complejo.

Respecto a las regulaciones, suelo mantener una postura intermedia. Es lógico y evidente que las empresas por sí mismas rara vez miran por la seguridad a no ser que les des con el palo, con lo que la regulación puede, al menos, obligar a quien no mira por la seguridad a que haga algo. Desgraciadamente cumplir con determinadas regulaciones y pasar la auditoría de turno está muy lejos de ser lo que yo entiendo por gestionar la seguridad, pero menos da una piedra.

Algunos casos que os puedo contar, por poner dos ejemplos simples, son el de la FFIEC norteamericana, con su guía relacionada con la autenticación en banca electrónica (esa que sigue sin reflejar la importancia de autenticar transacciones, y no a personas) o las archifamosas condiciones de PCI-DSS, que entre otras muchas cosas solicitan la utilización de autenticación segura insistiendo en que la aplicación de pagos no corra con usuario administrador, como si eso solucionara todos los problemas. En ambos casos el cumplimiento no supone ni de lejos tener seguridad en los procesos de banca electrónica y medios de pago telemáticos, respectivamente, pero siempre es mejor tener algo que no tener nada.

Creo que regular la seguridad no será, ni de lejos, la solución a nuestros problemas. Pero viendo el turbio camino que va tomando esto, donde la tecnología avanza imparable y viendo que las organizaciones rara vez están a la altura de la exigencias en lo que a seguridad se refiere, quizás vaya siendo hora de que pongan el nombre del CISO o del CIO en un papelito oficial tal y como se hace con la SoX, responsabilizándolo en última instancia de la seguridad de la organización para la que trabaja. ¿No es ese acaso uno de sus cometidos? Quizás así más de uno se pondría las pilas, que buena falta nos hace.

Un saludo,