viernes, 28 de diciembre de 2012

Carta a los Reyes Magos de un Responsable de Seguridad para el 2013

Dado el éxito que tuvo esta entrada el año pasado y visto que para pronósticos ya hay bastantes buenas Webs especializadas en hacerlos, voy de nuevo a escribir este año lo que sería mi carta a los Reyes Magos si fuera un "responsable de seguridad".
"Queridos Reyes Magos,
Este año, como en años anteriores he sido bueno y he logrado que en mi organización no haya ocurrido ningún incidente. Mis compañeros no lo valoran pero he tenido que trabajar mucho para que esto sea así. Sin embargo y muy a pesar mío, este año ha sido especialmente duro porque me han complicado mucho más la vida y me estan haciendo sudar la camiseta a diario. Supongo que al igual que atendéis mis deseos, también escucháis los de mis jefes y compañeros. Yo se que no lo hacen con mala intención pero a ellos les has traído en este 2012 sus "nubes" y les regalasteis todo tipo de gadgets que para mi se han convertido en mis peores pesadillas bajo las siglas "BYOD" y "Cloud computing". Así que de nuevo tengo que pedir algunas cosas para este año 2013 que empieza. Mi lista es la siguiente:
  • Este año necesito refuerzos muy importantes desde los servicios jurídicos. En otros departamentos se están planteando ya el migrar algunos servicios hacia entornos más versátiles utilizando la "cloud computing" pero nadie es capaz de valorar con la debida prudencia cómo hacer que esto no sea un salto al vacío irreversible y sobre todo, que atienda al cumplimiento de los requisitos legales que rigen en nuestro país. De este tema me preocupan dos cosas: a largo plazo, no deberíamos ser presa de nuestros proveedores y deberíamos tener un plan B por si los servicios en esta modalidad no cumplen con nuestras necesidades, poder saltar a otro proveedor o dar marcha atrás y usar de nuevo nuestros entornos.  A corto plazo, que firmemos acuerdos que me proporcionen garantías jurídicas solventes en caso de problemas para que litigiar si el proveedor no está a la altura no sea una pesadilla. Por tanto, necesito que mis compañeros de jurídico me ayuden  y valoren si las condiciones del servicio satisfacen la legislación en materia de protección de datos, controlen que se firman los correspondientes acuerdos de encargo de tratamiento, determinen si es pertinente o no el ámbito jurísdiccional en el que se resolverán los conflictos en caso de problemas y sobre todo, definan si las garantías y renuncias de responsabilidad del proveedor son pertinentes o asumibles. Yo les echaré una mano para establecer los acuerdos de nivel de servicio y junto con mis compañeros de sistemas determinaremos los usos deseados y las posibles penalizaciones a trasladar al proveedor si no se cumplen los niveles de servicio acordados.
  • En relación con el salto a la "cloud computing" necesito también la ayuda de mis compañeros de sistemas. Tenemos que definir en estos entornos cual va a ser nuestra política de backup y sobre todo, cuál sería nuestro plan de continuidad de negocio en el caso de que el proveedor por lo que fuera nos dejara tirado. No me hace mucha ilusión perder control total de los datos por lo que aplicando la regla básica de la prudencia "Si algo puede ir mal, irá peor", quiero tener alguna garantía de supervivencia en caso de que la trasferencia del riesgo falle. Si el proveedor se hunde no quiero verme atado a él y caer en el mismo pozo... o al menos, quiero tener datos suficientes como para poder reconstruir los sistemas de información. Nunca falla nada... hasta que falla, pero mi misión en mi organización en el contexto de la Cloud computing ya no es en este caso evitarlo, sino garantizar que habrá una salida para nosotros llegado el momento.
  • A mis compañeros de trabajo que traen todo tipo de gadgets a la oficina y que me piden conectividad "anywhere" y "anytime" les pido un poco de cordura. Yo no soy el árbitro o el malo de la película sino simplemente el observador que avisa o advierte del peligro que se asume o corre. En este sentido, antes de poder hacer algo al respecto necesitaría que la Dirección me aclare cómo quiere atajar el problema y hasta donde lo desea controlar. La información está ya tan distribuida o es tan sencillamente dispersable que mantenerla bajo control es un auténtico quebradero de cabeza. Sin embargo hay unos mínimos que la organización debe decidir y que al menos estos, debieran cumplirse pero no porque sea una decisión de seguridad sino porque son necesidades de negocio o porque la legislación no lo permite. Por tanto y dado que yo no puedo velar de forma operativa porque los datos no se pierdan, tengo que apelar a su responsabilidad para que entiendan de una puñetera vez que la información tiene valor y por tanto, no se puede llevar de cualquier forma y en cualquier dispositivo. Según se decida, ciertas cosas deberán ir protegidas o no podrán salir de la organización.
  • En relación al Bring Your Own Device (BYOD) necesito que la Dirección tome una decisión al respecto y que establezca la posición corporativa y las normas de uso que autoriza respecto a este tema. Como ya he dicho antes y les explico a mis compañeros, el Área de Seguridad no es árbitro de nada. Simplemente es responsable de velar porque se cumplan las restricciones. No somos nosotros los que debemos decidir que si y qué no. Y seguramente muchos usuarios de buena fe están usando estos servicios para hacer mejor su trabajo pero ello no justifica que “ellos” asuman unos riesgos/decisiones que  no les corresponden. Porque si por lo que fuera uno de esos documentos acaba en manos ajenas no será el personal en cuestión con nombre y apellidos el cuestionado sino su organización y por extensión, mi trabajo. Por eso es necesario una vez tomadas las decisiones al respecto, definir cual sería el procedimiento disciplinario a aplicar una vez definidas las normas. Entre todos tenemos que buscar ese “difícil punto de equilibrio” entre lo razonable y lo prudente. 
  • En materia de cumplimiento y LOPD, poco tengo que solicitaros. Como dicen por aquí, "virgencita que me quede como estoy". Se que se avecinan cambios en cuanto vayan dando la forma definitiva al futuro reglamento europeo pero al menos en mi caso, me conformo con que la gente vaya asumiendo las diferentes tareas que hemos asignado para garantizar que cuidamos bien el cumplimiento. Yo volveré a realizar campañas de concienciación sobre el tema para que mis departamentos más críticos como son personal y marketing tengan claras las reglas del juego y conozcan los protocolos internos que hemos pactado para atender derechos, comunicar incidencias y cumplir con las medidas de seguridad.  
  • Como ya deseo final tengo que pedir para mi departamento unas mejores herramientas que me permitan mejorar la gestión general de la seguridad y relacionar las necesidades de Dirección con la vigilancia activa de lo que circula en la red. El año 2012 ha sido bastante movidito en cuanto a malware y su vertiente más peligrosa, los APT. A ello se suma que se amplia el alcance de  esta lacra tecnológica y se añaden los dispositivos móviles por lo que la problemática se hace mayor y más dispersa. Por tanto, me gustaría empezar a desplegar mi estrategia de monitorización proactiva y disponer de herramientas que me permitan tener "inteligencia de red" para poder detectar comportamientos anómalos o extraños y que pueda al menos reaccionar en el menor tiempo posible. Y si ya queréis bordarlo, me gustaría que estas herramientas SIEM pudieran hablar con mis herramientas de análisis y gestión del riesgo para que ambos mundos se fueran sincronizando. Desde el mundo SIEM podría tener información que alimentara mis indicadores y métricas de gestión y control de la seguridad. Desde mis herramientas de análisis de riesgos me gustaría poder volcar el valor de los activos sobre los CI que definen la  infraestructura de los sistemas de información de forma que cada vez que cualquier área tenga que modificar un elemento de configuración, tenga presente el posible impacto y valor que para el negocio tiene ese elemento. De esta forma, todos empezaremos a hablar el mismo lenguaje, el que tiene que importarnos a todos que es la relevancia que cada elemento tiene en los procesos de negocio. Por lo que voy conociendo, a principios de este año se anunciará un producto así que junta la parte operativa con la de gestión así que solo espero cierto mínimo presupuesto para poder empezar a implantarlo porque será vital para que pueda avisar a tiempo.

En fin, queridos Reyes. Se que éste es un año difícil porque nadie tiene presupuesto para nada porque a todos nos toca apañarnos con lo que tenemos pero sin herramientas a veces se complica mucho hacer bien nuestro trabajo."


3 comentarios:

Anónimo dijo...

Buenisimo!!! mis compañeros y yo nos vemos reflejados plenamente!!
:)

Javier Cao Avellaneda dijo...

Pues si pertenecéis al área de seguridad o sois CISOs de vuestra organización es todo un halago que os hayáis sentido identificados.

Anónimo dijo...

Jajaja, real como la vida misma.
Lo has clavado en todo.
Me has hecho pasar un rato muy agradable y pensar en que gracias a dios, no soy el único que sufre los regalos de los reyes magos.

 
;