Weblog de JaCkSecurity

En ocasiones, no nos falta motivos para sobre-exigir la seguridad de algunos puntos de nuestra cadena de procesos. Sin embargo, la excesiva seguridad en un eslabón se convierte también en el punto más frágil de toda la cadena, al sobre-exigir los demás eslabones (menos fuertes o normales). Aunque sea extraño decirl, ese tipo de descompensación sucede todo el tiempo, especialmente en organizaciones con departamentos de seguridad con gran poder.

Cada vez que implantamos un nuevo control de seguridad, principalmente los apegados a la “protección”, ponemos en riesgo a toda la cadena, aún discriminando el típico residual pos contramedida.

Esto sucede a causa de que somos incapaces de tener una visión holística de la cadena de procesos. Quizás un poco de experiencia, y mas bien paciencia (trabajo multidisciplinario) nos puede ayudar a evitar el fortalecer tanto un eslabón, que termine quebrando lazos con los dos de extremo.

Aunque el conocimiento integral es ideal para lo anterior, el mismo puede sonar inalcanzable, sin ayuda externa. He allí, donde un consultor de seguridad sigue siendo vital, aún a profesionales de seguridad in-house. La diversidad de experiencias en varios sectores de la industria y/o en empresas similares se vuelven útiles. Por supuesto, esta misma experiencia también la puede conseguir con literatura (books) de consultores o expertos. No obstante, con tanta presión regulatoria y normativa, ¿cuántos CISO realmente podemos lograr esto último?

Lo dicho se resume en un antiguo proverbio judío:

Quien quiera pelear,

primero debe pensar;

quien quiera ganar,

debe saber escuchar.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Es una interesante pregunta que surge cuando hacemos una típica consultoría de seguridad, que embebe, por ejemplo, una clasificación de activos o análisis de riesgos. A esta interrogante solemos no darle mucha atención, y procedemos a hacer lo que nos indique el cliente, y no ejercer una opinión más reflexiva, como ¿es realmente ese señor el owner final de ese activo de información? ¿no será mas bien el representante de otro, quien sí es el verdadero owner, pero no lo podemos visualizar a simple vista en nuestro mapa de áreas/procesos/activos?

Aquí una lección importante, de por qué detenernos a reflexionar si tal, cual o nosotros somos o no los owner.

Transcendió que un CISO tuvo que renunciar a su empleo en una agencia de gobierno, luego de citar de un incidente de seguridad en su agencia, durante su ponencia en la conferencia RSA. Bob Maley al parecer fue invitado a dimitir a causa de esa divulgación no autorizada, condicionada por una política de no-divulgación de dicha agencia. Según la ponencia de Bob, el estaría hablando de los problemas de seguridad que gente como él tiene que enfrentar en el día a día en las agencias de gobierno.

Aunque a simple vista, parecería que el proceso fue lo justo. Sin embargo, un comentarista de seguridad argumentó dos cosas (de las que citaremos sólo una, para ejemplo y reflexión):

On its face, that’s a sensible policy. No one wants unauthorized people spouting off to the media. But on the other hand, this is a state government, and the government’s business is the people’s business. This is not classified information, and I would argue that it’s not even sensitive information; it’s simply evidence that someone in the Pennsylvania IT organization misconfigured a Web application. Dennis Fisher

Por esto, quizás convenga cambiar nuestra pregunta de ¿quién es el owner? por ¿a quién le afecta más las decisiones o problemas sobre ese activo? Si el owner no es visible, entonces debería haber un owner-proxy, y ese debería tener claro que no vela por sus interéses, sino por los del verdadero owner, de quien necesita su “aprobación para” (defender, atacar, analizar, borrar, etc).

Así como fue una mala idea la Bob, también lo fue la de su agencia en permitirle renunciar sin una aclaración explícita, luego de esos hechos (sea que lo despidieron o no).

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Este artículo de Día 1, El Comercio, especula muy bien el porqué a veces lo ideal de un sistema de prevención y alerta antes crisis o emergencias, no hace todo lo deseable.

Si hay una entidad con igual o mayor poder que quien generar la alerta, y su agenda en contrariamente diferente, entonces, el sistema de alerta (ante crisis/emergencia) podría pasar a segundo plano en su cometido inicial.

Preste mucha atención con eso, cuando establece su propio nivel de jerarquías de manejo de crisis, es mejor sincerar lo previsible que prometer lo incumplible. El lenguaje juega un factor importante. Apóyese de sus abogados, no use sólo su criterio de experto de seguridad o continuidad de negocios.

Un buen ejemplo de lo dicho, y una buena forma de recordar esta verdad, es el circuito de doble interruptor que -muy seguro- posee en casa (si alguna vez lo hizo en su clase de eletricidad básica, la idea le será más que clara).

Con dos interruptores se puede prender y apagar una lámpara. Sólo imagine dos niños jugando en ambos extremos, con los dos interruptores, mientras uno apaga, el otro enciende.

JaCkSecurity
Conocimiento, Conciencia y Consultoría