Aunque olvidé colgar el cartel de vacaciones, comienza ya el nuevo curso blogero. Y para empezar quiero comentar algunas cuestiones que este verano han estado dando vueltas en mi cabeza. Como suele ya ser tradición en mi suelo aprovechar el periodo vacacional para leer y sobre todo cosas de otras temáticas o áreas de conocimiento que también me atraen como la psicología, la productividad personal o la antropología. Aunque espero pronto poder publicar algunas de las conclusiones de mis lecturas, me quiero centrar en los últimos incidentes notorios y públicos de hacking que han puesto encima de la mesa más de una vez los términos ciberguerra o ciberdefensa y esta nueva sensación de guerra tecnológica.
Además, hace unos días leí en Aerópago21 la entrada ¿Contra quién estamos luchando? que terminó de inspirarme este texto.
La última reflexión que dejé en el tintero trataba de comprender el por qué de la poca trascendencia que sigue teniendo la seguridad de la información en las organizaciones, cuando estamos ya en el siglo XXI y la denominada "Sociedad de la información o el conocimiento". Esa
Sinceramente creo que nos encontramos en un punto de inflexión, por el que han pasado otras disciplinas o ciencias como la arquitectura, la ingeniería, la medicina donde se pasa el proceso primitivo y basado en el conocimiento aplicado a la formalización e industrialización de actividades, lo que conlleva la necesidad de normalizar y estructurar tareas que deben afectar a los sistemas de información.
No somos conscientes de la complejidad que hemos construido y que rodea ya nuestro día a día porque toda esa maquinaria funciona casi sin errores como una orquesta perfectamente organizada donde hay pocos desafines. Sin embargo, detrás de ese resultado puede simplemente darse la casualidad o quizás la suerte de distrutar de la ausencia de problemas. El error es pensar que esta situación es prorrogable de forma indefinida, que es una estrategia para el medio y largo plazo y que el que no ocurra nada en el presente es garantía de que no ocurrirá nada en el futuro. Para explicarme mejor creo ilustrativo hacer un paralelismo con un supuesto basado en otra problemática.
Imaginemos que somos nombrados Responsables del mantenimiento e infraestructuras urbanisticas de una ciudad. Como ejemplares ingenieros disponemos de todos los conocimientos necesarios y nos toca la labor de garantizar el buen funcionamiento de todos los servicios. Sin embargo, fruto de la carencia de unas buenas prácticas y una falta de disciplina, nos encontramos con las siguientes sorpresas:
- No se dispone del plano de la ciudad.
- No hay mapas de las canalizaciones y tuberías que atraviesan el suelo de la ciudad.
- No existe un inventario de los recursos a gestionar.
- Se desconoce el estado de cada uno de esos recursos, los contratos de mantenimiento, los periodos de revisión, etc.
- No se dispone de la lista de contacto para el mantenimiento de las infraestructuras.
La ciudad funciona sin problemas y este responsable de mantenimiento vive relativamente bien mientras no hay problemas. En este escenario, ¿qué puede hacer un buen gestor de infraestructuras ante una incidencia? Posiblemente un milagro para poder resolverla y seguramente con bastante dosis de suerte o pericia. Si el responsable de mantenimiento logra ir apagando fuegos, la ciudad no valorará su esfuerzo y no reconocerá su destreza porque en semejante situación ese responsable es un héroe.
Ahora, pasemos al área de TI de cualquier organización mediana o grande.
- ¿Existe y está documentada la arquitectura de red? (Los planos de la ciudad)
- ¿Hay diagramas de las interconexiones de la organización con elementos externos (Mapas de las canalizaciones y tuberías)
- ¿Se conocen el número de dispositivos conectados en la red de la organización?
- ¿Se disponen de listas de contacto para el mantenimiento técnico del equipamiento?
- ¿Existe un inventario de los activos y elementos de configuración de la organización?
- ¿Se conoce el estado de cada uno de esos recursos, los contratos de mantenimiento, los periodos de revisión, etc.?
- ¿Se evalua el estado de las versiones software instaladas y se aplican los parches que correspondan en las versiones vulnerables?
Yo auditando puedo contar con los dedos de una mano los sitios donde he visto este tipo de documentación y procesos de gestión operativa para su mantenimiento.
Los sistemas de información no son ajenos a los problemas que supone la gestión de tanta complejidad. Hay que pensar que cada dispositivo conectado a la red no es "sólo un cacharro". Ese hardware tiene seguro un sistema operativo y puede además disponer de aplicaciones instaladas. Todos estos productos software tienen versiones. A ello además debemos sumar la aparición de la virtualización que permite sobre un solo hardware la aparición de tantas máquinas virtuales (también con su sistema operativo, aplicaciones instaladas y correspondientes versiones).
Esta ingente cantidad de activos, no pueden ser mantenidos y operados de forma diferente a cómo son tratadas otras infraestructuras físicas del mundo real que adquieren el mismo nivel de complejidad. Lo que viene ocurriendo es que nuestras "ciudades digitales", los sistemas de información, han crecido de forma exponencial intentando satisfacer las necesidades de negocio, han multiplicado sus activos y han sido y siguen siendo gestionados mediante filosofías apagafuegos (causado esto último muchas veces por la falta de concienciación de la Dirección sobre la importancia del área TI en sus organizaciones y las necesidades de recursos que ello requiere, aunque esto será objeto de otro post). Y ese globo de riesgo se infla e infla e infla hasta que un día, por la menor de las estupideces explota y deja al descubierto las graves deficiencias de gestión y operación TI que esa organización tenía.
Los casos de hacking más conocidos han tenido como origen o causa principal la existencia de servicios o aplicaciones vulnerables por la falta de mantenimiento preventivo y de actualización de aplicaciones o sistemas. Y como ya comenté en otro post, "El pastor tiene que vigilar con 100 ojos cada una de sus ovejas, pero el lobo solo tiene que identificar, seleccionar y atacar a la más debil en el mejor momento y condiciones para tener éxito". Y en parte es lo que está ocurriendo en el ciberespacio. Hay muchos pastores dueños de sus sistemas de información que no son conscientes que en Internet hay muchos lobos, no conocemos cuantos pero existir existen. Y cuando te dan un zarpazo y se comen a una de tus ovejas, eso ya no tiene solución. El pastor ha vivido tranquilo mientras no han aparecido los lobos en el ciberespacio pero cuando han hecho su entrada le ha pillado totalmente desprotegido.
Y si te llamas Sony y afecta a tu plataforma de juego online tiene una factura de 171 millones de dolares. Y si te llamas Inteco, afecta a tu plataforma de formación y te dedicas a la seguridad tiene un daño en imagen importante. Y si te llamas Empresa A y supone la revelación de datos de carácter personal puede acabar en una sanción de la Agencia Española de Protección de Datos también considerable.
Hace unos días en una presentación sobre el Esquema Nacional de Seguridad comentaba que el marco operacional del ENS trata de empezar a concienciar a los responsables TI de las AA.PP. sobre la importancia de las actividades de la planificación, explotación y monitorización de los sistemas de información. Se me ocurrió nombrar las siglas ITIL y rápidamente las caras cambiaron. Había nombrado las palabras prohibidas. ITIL no es más que la necesaria formalización e industrialización de los procesos de gestión y operación TI que son esenciales para la gestión de toda esta complejidad. Estamos en el área de sistemas ahora teniendo que convencer de la importancia de estas metodologías como cuando hace 20 años cuando empezaba la carrera nuestro profesor de programación comentaba la importancia de las metodologías de desarrollo y la famosa crisis del software.
ITIL nace para racionalizar costes, maximizar la productividad y reducir los cortes de servicio. Aquí hay un resumen de su historia para el que tenga curiosidad. Obviamente en aquellos sitios donde los administradores y personal técnico son anárquicos, hacen las cosas cuando creen adecuado, no están encorsetados en procedimientos, no comprenden que son herramientas para dar soporte a procesos de negocio y dentro de lo que cabe, no tienen muchos problemas o incidencias, las siglas ITIL son el problema. Sin embargo, como comentaba en esa reunión, ITIL para ellos es una amenaza o la solución. Y digo esto porque dentro de unos años, estos departamentos que trabajan con esta filosofía de ausencia de gestión de la complejidad tendrán enfrente unos servicios gestionados en la nube que si emplean estas metodologías de trabajo y garantizan unos servicios, costes y rendimientos muy superiores harán pensar al área financiera o de dirección el liquidar el departamento TI para pasar a subcontratarlo. Para Dirección ese milagro de hacer que todo funcione sólo será analizando en términos de coste y servicio.
6 comentarios:
A fin de cuentas, la externalización no es más que la consecuencia de renunciar a gestionar esa complejidad que comentas. Cambio problemas por factura.
Tambien otra forma de verlo y desde el punto de vista de la Dirección es que pasas de tener unos sistemas de información heterogeneos, poco documentados y sin procesos maduros de gestión TI a subcontratar a personal altamente cualificado que aplica buenas prácticas como ITIL sobre unos entornos totalmente homogeneos que son seguro más estables dada la uniformidad de tecnologías basadas en la virtualización que además simplifica luego mucho la continuidad de negocio.
No estoy muy de acuerdo con eso, ni normalmente con los puntos de vista de la dirección :). Subcontratar personal no garantiza una mejor cualificación, ni que apliquen buenas prácticas. Ni muchísimo menos que sus sistemas vayan a ser más homogéneos y estables. Sólo te garantiza tener controlado lo que esté en el contrato; un nivel de servicio (SLA) y en precio. Y eso es de lo que entiende la dirección. De cualquier manera yo antes me refería a subcontratar servicios de TI completos (mensajería, hosting, ...), no personas.
Cierto es que habrá "nubes" y "nubarrones" pero la tendencia general de todos los grandes proveedores de servicio es acreditar sus infraestructuras mediante certificaciones como TIA-942 y sus prácticas operativas con certificaciones como ISO 27001 o ISO 20000.
En estas infraestructuras es de suponer que el personal está certificado en los productos de los fabricantes que empleen aunque como bien dices, la clave entre Organización y PrestadorTI estará en lo que ponga ese crítico documento llamado SLA cuando se transfiere "Riesgo", dado que el problema lo gestiona un tercero pero sigue siendo nuestro problema. No se si has leído mi otro post "La subcontratación del riesgo" (http://seguridad-de-la-informacion.blogspot.com/2008/10/la-subcontratacin-del-riesgo.html)
Estupendo blog y enhorabuena por vuestra clasificación preliminar en los premios Bitácoras. Seguiremos de cerca vuestro blog, os deseamos mucha suerte. Un saludo.
Creo que te confundes porque yo no estoy participando (que yo sepa) en el premio bitácoras. No me preocupo mucho de dar difusión al blog y por eso también está libre de publicidad. No busco amortizar o rentabilizar este esfuerzo, lo hago por el placer de compartir opiniones y conocimientos.
Un saludo,
Publicar un comentario