lunes, 7 de febrero de 2005

La seguridad sin control no sirve de nada

Leo en el blog de Schneier un comentario ironico sobre la eficacia de las medidas de seguridad implantadas. Como bien dice el señor Schneier, no importa que tipo de medida de seguridad implementes si es fácil evadirla. En este caso, la foto que adjunto ilustra muy bien este ejemplo.




Mi reflexión quiere ir un poco más lejos. Estamos acostumbrados a utilizar cada día un montón de medidas de seguridad tales como contraseñas, antivirus, log's de auditoría, etc.
Muchas veces es muy tentador preguntarse ¿para qué? , si al final las contraseñas se comparten o se permiten dejar en blanco, si los log's no los mira nadie y se borran cada semana o mes, etc... ¿para que poner tantos obstáculos por motivos de seguridad si no se persigue un objetivo?

La norma UNE ISO/IEC 17799 establece el "Código de buenas prácticas para la gestión de la seguridad de la información". Este estandar determina una serie de 35 objetivos de control que pueden implementarse mediante el uso de 127 controles recomendados. En este caso, cada control tiene un sentido y busca la consecución de un objetivo.

Por tanto, para aquellos que decidan implantar medidas de seguridad, háganse primero las siguientes preguntas:
- ¿Qué objetivos de control quiero conseguir?
- ¿Qué amenazas estoy tratando de gestionar?
- ¿Qué estrategia de defensa (disuasión, prevención, recuperación) quiero implantar?
- ¿Cómo voy a medir la eficacia de esta medida?
- ¿Quién será el responsable de su gestión y supervisión?

Sin todas estas respuestas bien contestadas posiblemente no merezca la pena implantar la medida dado que el usuario solamente verá un obstáculo en la realización de su trabajo y los jefes una merma en el rendimiento de sus empleados.

Seguridad SI pero con sentido. Como dice un conocido spot de neumáticos pero adaptado a la temática del blog "La seguridad sin control no sirve de nada"
 
;