El puente de mando tecnológico
Estimados lectores:
Una singladura más dentro de mi etapa profesional comienza a zarpar en estos momentos. El UNAM-CERT me ha invitado a ser su contramaestre de divulgación tecnológica en asuntos de seguridad de la información y temas relacionados con las nuevas tecnologías. Desde estas líneas, deseo servir como punto de referencia a la hora de abordar los proyectos que en materia de Seguridad de la Información tengan en mente llevar a cabo.
Si bien, en muchas publicaciones a nivel internacional, escriben muchos y muy buenos expertos en cualquier materia afín, quiero que mi contribución sea crítica, independiente y diferente; no orientada a recomendar fabricantes, sino tecnologías que ayuden día a día a los profesionales de seguridad de la información.
Si ustedes tienen dudas, recomendaciones, sugerencias o críticas, les ruego me las hagan llegar para que entre todos mejoremos el nivel tecnológico y podamos llegar a la finalización exitosa de proyectos.
Gracias a todos por seguirme.
Ing. Jesús Torrecillas (D.S.E.) Director de Seguridad de Empresa, Universidad Pontificia de Comillas.
Limpiando la cubierta
Para que una nave navegue y llegue a buen puerto tras una travesía, lo primero que hay que hacer antes de zarpar, es poner en orden los aparejos, la arboladura, la jarcia, dar el adecuado mantenimiento a las máquinas y limpiar la cubierta de todo aquello que obstaculice el paso a la marinería y que impida la buena ejecución de las maniobras durante el recorrido.
Cada uno de ustedes, mis queridos lectores, son a su entender, expertos en las tecnologías más diversas. Pero en temas de Seguridad de la Información, el camino es bastante arduo y lleno de muchos obstáculos que impiden, en mayor o menor medida, tener un conocimiento amplio de estas tecnologías y una visión objetiva de lo que se debe hacer y de lo que no debemos.
Antes de abordar un proyecto complejo, como el de securizar una compañía, hay que limpiar nuestra mente de obstáculos y reconocer humildemente que el camino será muy árido y duro; para lo cual, es necesario empezar desde el nivel más bajo del proyecto, pero dentro de un entorno no viciado.
Los obstáculos a los que se enfrenta una persona que desea hacer su carrera como experto en seguridad de la información, aunque hay muchos más, los resumo en los siguientes:
Obsolescencia de las tecnologías
Cada pocos meses (incluso cada pocas semanas) las tecnologías evolucionan, se abandonan, se absorben. Nuevos productos, nuevas tendencias, nuevas reglas de juego aparecen en el mercado de las tecnologías de la información. Esto hace que sea necesario que los profesionales estén en un permanente estado de estrés tecnológico ante la avalancha de información que aparece diariamente.
Es sabido que, cuando uno ya está familiarizado con un producto, llega a la conclusión de que ya es obsoleto, lo que genera un cierto grado de frustración profesional.
Tecnologías innovadoras fugaces
Ante un mercado tan agresivo y pujante, muchas compañías de tecnología sacan y sacan productos que muchas veces nacen muertos antes de ver su consolidación en el mercado, pues otros fabricantes se adelantaron a las ideas y fueron más agresivos a la hora de plantear la estrategia de comercialización.
Innumerables certificaciones como experto en seguridad de la información
El nicho de la formación es una línea de negocio que se podría definir como la nueva gallina de los huevos de oro de los fabricantes de software y hardware. Las empresas serias necesitan gente certificada para hacer frente a las normativas como SABOX, ISOs, etc… A su vez, esto hace que empresas muy nuevas tengan legiones de certificadores y expertos certificados, cuyas tarjetas de visita parecen escritas en arameo por la cantidad de siglas que tienen, algunas de ellas antagónicas. Sugiero leer mi artículo publicado hace algunos años y que titulé: CISSP, CCENT, CISA, CCIE, CCNA, LPT, GIAC, SSCP… ¿Quién da más?, o cómo ser un experto en seguridad informática y no morir en el intento.
Falta de planificación estratégica de las compañías en seguridad de la información
Una parte importante del personal de TI en las empresas, en especial las personas que tienen el poder de decisión en las mismas, duermen tranquilos pensando que, teniendo un buen antivirus, un firewall y un IPS, están protegidos de por vida.
En 2004, Bruce Schneider escribió en su libro Secrets & lies. Digital Security in a networked world (John Wiley & Sons Inc.): Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas de seguridad y tampoco entiende la tecnología.
Tener un departamento de seguridad de la información lleno de expertos, no garantiza que no ocurran eventos y que la información estratégica no se escape por agujeros o brechas de seguridad.
La triste realidad es que, en la mayoría de las empresas en México, se sigue considerando a los expertos en seguridad de la información “pistoleros que ahora usan ratones y teclados”. Esta pobre percepción de una profesión muy compleja da mucho juego a que haya un gran número de oportunistas que se crean expertos por estudiarse un manual y, que por su verborrea y labia agresiva, convenzan a la alta dirección de que adquieran tecnologías que luego no van a resolver los problemas inherentes al día a día de (por ejemplo) hacktivismo, ciberterrorismo, espionaje electrónico, pérdida de información estratégica corporativa, etc.
Desconocimiento de la alta dirección de la empresa sobre qué es seguridad de la información
Posiblemente, más del 90% de los expertos certificados y no certificados informáticos en cualquiera de las decenas de certificaciones como experto, no saben vender a la alta dirección la función de seguridad de la información.
Estos expertos en seguridad de la información, cuando se enfrascan en discusiones dialécticas con los que tienen el poder en las organizaciones, acaban frustrados porque no han logrado evangelizar a la alta dirección sobre la problemática actual. Por tanto, la alta dirección no aprueba inversiones estratégicas en estos conceptos, al no saber para qué los de TI necesitan nuevas tecnologías periódicamente.
El siguiente comentario lo escuché a un junior que intentaba vender a la alta dirección un proyecto de seguridad de la información. Obvio, la alta dirección lo escuchó con complacencia y nunca asignó recursos a alguien que hablaba tan rarito:
Con el know-how que tenemos, hagamos un tag con los miembros de IT para asignar al team el deployment, según consta en el abstract. De esta forma y atendiendo a mi main-set analizar el rollmap, con el fin de optimizar el workshop para conseguir un roll out efectivo del software para ello tenemos que elegir a un consultant con las capabilities óptimas y de esta forma conseguir un head count preciso a las necesidades.
A la alta dirección hay que hablarle en el lenguaje que ellos entienden: inversión, retorno de inversión, impacto en el negocio, prevención de parada de operación, ejemplos de otras empresas del mismo nivel que tuvieron pérdidas por no haber hecho un plan director de seguridad de la información, etc.
Hasta la próxima travesía.
Si quieres saber más, visita:
