miércoles, 4 de enero de 2012

Carta a los Reyes Magos de un Responsable de Seguridad para el 2012

Iba a postear sobre el repaso al 2011 y los pronósticos del 2012 pero en las fechas que estamos me parece más pertinente escribir la carta a los Reyes Magos y aplazar las reflexiones anteriores para la semana próxima. Así que allá voy, esta sería mi carta a los Reyes Magos como "responsable de seguridad de la información" o "CISO" o "DPO".

"Queridos Reyes Magos,
Este año, como en años anteriores he sido bueno y he logrado que en mi organización no haya ocurrido ningún incidente. Mis compañeros no lo valoran pero he tenido que trabajar mucho para que esto sea así. Sin embargo, como la rutina habitual es que no ocurra nada parece que yo no hago mi trabajo. Aun con eso, tengo que pedir algunas cosas para el año 2012. Mi lista sería:

  • Pediría que en mi Organización entiendan que aporto valor. Que las cosas funcionen y que no hayan imprevistos no es una situación que se logre no haciendo nada. Es necesario que yo esté vigilante y atento del día a día y sobre todo, del funcionamiento de los sistemas para detectar cuando sospecho que algo extraño está sucediendo o puede suceder y avisar para mitigar el posible problema. Este año he tenido que notificar la existencia de bastantes vulnerabilidades en los entornos de producción que estaban sin parchear, he descubierto tráfico extraño desde portátiles internos que estaban infectados aunque por suerte no se habían conectado a la red corporativa. Creo que no pasan más cosas porque tenemos mucha suerte. La cantidad de pendrives y discos USB que veo por las mesas de mis compañeros dan miedo. Por las noches tengo pesadillas y no duermo tranquilo. Sueño con una llamada de la gente de guardia a las 3 de la mañana diciendome, "-Javier, vente para acá que se ha liao parda". En fin, sólo espero que mi Organización entienda que la seguridad, una vez que se ponen en marcha medidas, es una tarea de mantenimiento y supervisión continua que no puede desfallecer nunca. Es como estar aguantando una barrera con los brazos para evitar que la gente pase. En cuanto no haces lo que toca, la barrera cae y la gente se cuela. Yo solo espero disponer de información que me permita tener la tranquilidad de saber que las cosas funcionan y pueda así dormir tranquilo sabiendo que hago mi trabajo lo mejor posible. No podré evitar todos los incidentes pero al menos, no lo pongo fácil para que éstos ocurran.
  • Pediría que los usuarios sean buenos y contribuyan a facilitar mi labor. Aunque tengo desplegadas acciones de concienciación sobre la materia, la gente pulsa antes de leer y eso suele generar problemas. También quiero hacerles conscientes de que nuestra Organización trata con datos de carácter personal sensibles y que existe una legislación que respetar. Yo no estoy para proteger las cosas sino para lograr que todas las medidas funcionen según lo previsto pero esta guerra es cosa de todos. Con que un usuario cometa un error y ciertos datos acaben en Internet mi trabajo se verá frustrado y mi puesto cuestionado. Asumo que siempre ando en la cuerda floja porque al más minimo fallo se me apuntará con el dedo de la culpabilidad pero necesito que todos entiendan que en esta guerra todos somos soldados. 
  • Pediría que la Dirección de mi Organización entienda los resultados de mi análisis de riesgos y obre en consecuencia. Yo como responsable de seguridad estoy para detectar y diagnosticar problemas pero las decisiones y sus prioridades no son cosa mia. Yo puedo aconsejar o asesorar respecto a lo que entiendo debe ser tratado pero los riesgos de mi Organización deben ser asumidos por la Dirección, no por mi. Yo no tengo tanto poder para tomar decisiones de ese calado.
  • En relación con lo anterior, también necesitaría que la Dirección de mi Organización me proporcione algunos recursos cuando decide poner en marcha algún plan de tratamiento de riesgos. Para poder tomar decisiones y sobre todo, para detectar anomalías necesito tener 1000 ojos y eso implica desplegar ciertas tecnologías de centralización de logs, correlación de eventos y tiempo para poderlas ajustar atendiendo a nuestro contexto y nuestros riesgos de negocio. Mi único objetivo es poderles proporcionar una información de mayor calidad que les lleve a tomar decisiones más correctas y precisas pero eso implica invertir un poco. Evitar y prevenir problemas siempre es más barato que tener que sufrir un incidente y reparar los daños. Este año 2011 además hemos visto retozar en el lodazal de las empresas hackeadas o con incidentes a organizaciones de todo tipo y supongo que en esa lotería algún día nos puede tocar a nosotros.
  • También pediría a mis compañeros de Sistemas que no me vean como un enemigo o alguien que se mete en sus asuntos. Yo soy consciente que la prioridad es que todo funcione pero a veces, por poner en producción demasiado rápido las cosas se cometen errores que luego pasan facturas muy caras. Obviamente esas facturas, si suponen un incidente de seguridad las voy a tener que pagar yo pero no debemos olvidar que estamos todos en el mismo barco que es nuestra Organización y aquí todos queremos que los incidentes no nos sorprendan.
  • A mis compañeros de Desarrollo les pediría un poco más de prudencia y de concienciación respecto a las aplicaciones que mi Organización vaya a hacer accesibles desde el exterior. Hoy en día es de ingenuos pensar que todo el mundo en Internet es bueno. Hay gente que se dedica a buscar agujeros o fallos que luego les permiten llegar más lejos. Por tanto, las aplicaciones deben ser programadas con una mentalidad defensiva y las baterías de pruebas de desarrollo no solo deben probar funcionalidades operativas, deben también superar pruebas de estrés y resistencia frente a los ataques más comunes.
  • En materia de Protección de Datos de Carácter Personal pediría también a muchos departamentos que comprendan que esto de la LOPD no es una tortura o el multazo que nos puede pegar la Agencia Española de Protección de Datos. Nuestros clientes se merecen, como parte de los servicios que les damos, una adecuada y diligente gestión de su información. Al fin y al cabo, a nosotros nos prestan ciertos datos para que les podamos dar servicios pero la información es suya, no nuestra.
  • Por terminar y ya en relación al área de auditoría, sólo deseo que mis compañeros sean capaces de hacer lo mejor posible su trabajo y me puedan reportar las máximas deficiencias posibles. En el momento se que me escocerá el informe pero entendiendo que ellos buscan lo mismo que yo, cuanto más barran ellos la casa y más alfombras se levanten, menos riesgo de sustos o incidentes tendré que asumir yo. Cuatro ojos ven más que dos y por tanto, es bueno que de vez en cuando alguien ajeno a mi día a día me revise y me recomiende cosas a cambiar. Yo creo profundamente en el ciclo de mejora continua y lo que no te mata te hace más fuerte.

En fin, queridos Reyes. Se que éste es un año difícil y que las Organizaciones todavía no valoran/comprenden/entienden qué pinta la seguridad de la información y cómo eso les ayuda a ser mejores y más competitivas, pero esperemos que con los años y no a base de incidentes, las cosas vayan cayendo por su propio peso. No pido para este año tener presupuesto para certificar mi SGSI con la ISO 27001 porque todavía soy consciente de que necesito mejorar algunas áreas de control aunque será el deseo para el año que viene casi seguro."

8 comentarios:

Amedeo Maturo dijo...

Simplemente genail!!!

dsespitia dijo...

El mejor resumen de nuestros deseos

Unknown dijo...

Excelente post!!! muy buena la lectura!

Joan Figueras dijo...

Muy buen post! Comparto plenamente tus deseos.

Áudea dijo...

Muy didáctico y fiel reflejo de la dura realidad de los Responsables de Seguridad de la Información de las empresas. Espero que los Reyes ayuden porque en un país como España, la tarea es todavía ardua y un poco cuesta arriba.

Saludos.

Anónimo dijo...

Gracias ;-)

Verdades como puños y deseos que todos los que nos dedicamos a esto, compartimos contigo.

Espero que no tenga copyright tu carta porque pienso copiarla.

Excelente !!!

- Raúl - dijo...

¡Excelente Javier! y bien elegidos los destinatarios: ¡Magos!, ¡Reyes Magos!

majup20_1 dijo...

Me encantó esta lectura.
Saludos.

 
;