IT: Porqué Las Políticas de Seguridad No Están Funcionando?


Saludos,

Para escribir esta entrega estuve revisando material que tiene ver con algo que siempre se nos olvida, o quizás no es que se nos olvide sino que el tiempo traiciona, y que tiene que ver con actualizar nuestros sistemas con los parches que envían los fabricantes de nuestros productos y aplicaciones. Además de mis estudios de Tecnologías de la Información, por los últimos más de veinte años tengo el agrado de atender Clientes de diferentes Industrias, esto último me ha permitido conocer realidades con las que los profesionales de TI debemos no solamente convivir, sino que entender y construir el nexo entre la herramienta tecnológica y el uso apropiado de la misma.

Habrán escuchado el escándalo que se ha suscitado acerca de la violación de datos que ha sucedido en Equifax (una más de varias en otras organizaciones). La prensa especializada ha definido este caso como un grupo de “incompetencia, fallas y en general un comportamiento altamente sospechoso” a la manera como se “elaboró” el medioambiente que hizo propicia dicha violación de seguridad. El problema ha ocurrido en Mayo de este año debido a una vulnerabilidad de una aplicación web la misma que, óiganlo, tenía un parche de seguridad disponible desde Marzo de este mismo año. En Sudamérica decimos, en el plano futbolístico, que después de las derrotas todos somos Técnicos de Fútbol, la intención más que buscar culpables es entender por qué suceden estas cosas.

Existe abundante material, herramientas y metodología para atender este tipo de eventos. Microsoft por ejemplo tiene una plataforma de seguridad que permite a los usuarios de sus productos definir lo que ellos llaman ”Patch Management Policy”, o Política de Administración de Parches. Este concepto se entiende como la manera de revisar, entender, probar, desarrollar y conciliar el estado de despliegue para las actualizaciones de productos de software. El objetivo del concepto, basado en la manera como se entiende el mismo, tiene que ver con corregir problemas, darle frente a las vulnerabilidades y mejorar las funcionalidades de los productos. Hasta ahí muy bien, pero y el usuario?

Un primer problema que encuentro, y no solo en la documentación de MS sino que de la Industria, es que nos centramos demasiado en la forma, y tocamos con cierta superficialidad el fondo de las cosas, de las cosas de seguridad informática en este caso. El centro del modelo es el Usuario, ya sea este interno o externo. Los profesionales de ventas debemos entender estos desde el día uno porque es el Usuario (Cliente) es el que origina, solicita y consume el tipo de productos o servicios que nosotros comercializamos. De la misma manera, en Tecnologías de la Información, los productos y servicios que se desarrollan terminaran en los ordenadores de nuestros Usuarios, por tanto debemos sumarlos a nuestros modelos de seguridad como el origen y el fin de nuestro ciclo tecnológico. Esto permitirá que, ocupando el lugar central, el Usuario se convierta en nuestra primera y sólida línea de defensa ante posibles ataques en contra de nuestros sistemas.

El otro problema que encuentro es la sobre carga con la que tiene que lidiar el profesional de TI de nuestros días. Hay que hacer más con menos recursos humanos, en el campo de Seguridad por ejemplo se proyecta un déficit de profesionales del sector, o que este ya es existente, y que se ampliará en los próximos tres años. Un factor adicional en este panorama es que debido a esta realidad, falta de suficiente número de profesionales, aquellos que se enrolan en los centros de formación, o quienes han egresado recientemente de esos mismos lugares de entrenamiento, salen a realizar tareas para las que aún no tienen la experiencia del caso. Qué hace un inexperto recién egresado cuando tienen que enfrentar una realidad que va más allá de definiciones que recién se han aprendido en el laboratorio académico?.

Quieren más drama? Bueno, vivimos en el mundo del Internet, 24x7x365, ya si no hay suficientes profesionales, y los que hay disponibles  (los recién egresados, o los estudiantes) no tienen la experiencia, la realidad dicta “none-stop operations”, por lo que adoptar una actitud de prevención y de resolver problemas de manera proactiva ya ni siquiera es una buena práctica, es en esencia una necesidad de negocios. Reitero, yo creo que tenemos suficiente tecnología para resolver problemas, lo que debemos es retomar el compromiso con nuestros Usuarios, sumarlos al esfuerzo de hacer un medioambiente en el que ellos consigan lo que necesitan, y nosotros brindemos los servicios necesarios para ese fin. Recordemos que ambientes como las Plataformas de Redes Sociales, y el mismo Internet, no fueron creados como ambientes que ofrezcan niveles de seguridad apropiados para los usuarios modernos.

Para el tema Internet, las herramientas que hacen de este mundo digital tienen que saltar a la palestra, los humanos no podemos operar de continuo, necesitamos tomar descanso que no es permitido por la red de redes, por tanto necesitamos de robots y computadores inteligentes que hagan el trabajo en modo “none-stop”. De eso justamente se trata el concepto de la Cuarta Revolución Industrial: Hacer uso de la tecnología para mejorar la calidad del nivel de vida de las personas. El poder computacional de nuestros equipos, la capacidad de almacenamiento de nuestras bases de datos, la agilidad de nuestras aplicaciones deben ser apuntadas si o si a mejorar la calidad del nivel de vida de las personas.

Quiere saber usted que tan bien tiene definida su operación desde el punto de vista de TI? Converse con los Miembros de su Equipo, con sus Jefes, con los Usuarios de su Organización, con los Clientes de su Compañía, con sus Socios de Tecnología, escuche que le dicen, tome notas y apuntes, involúcrelos en la operación (en la parte que les corresponda y los beneficie), haga que ellos colaboren con usted y su equipo. No cese de hacer todo esto, luego se dará cuenta que el nivel de compromiso, lealtad y responsabilidad será más alto, que su grado de vulnerabilidad será menor, que su grado de satisfacción será más alto, que el tiempo que dedique a entrenar y calificar a su equipo será más amplio, que podrá recibir mejores y más amplios presupuestos para consumir tecnología de avanzada, que su Compañía verá índices de mayor liderazgo en la Industria en la que compite.

No lo olvide: poca atención en el Usuario, y recuerde que la tecnología es una herramienta, un medio, que el fin es mejorar la calidad del nivel de vida de las personas.

Gracias por leerme.

Fuente: lorenzo Gomez Vargas

Compartir Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn