Es una interesante pregunta que surge cuando hacemos una típica consultoría de seguridad, que embebe, por ejemplo, una clasificación de activos o análisis de riesgos. A esta interrogante solemos no darle mucha atención, y procedemos a hacer lo que nos indique el cliente, y no ejercer una opinión más reflexiva, como ¿es realmente ese señor el owner final de ese activo de información? ¿no será mas bien el representante de otro, quien sí es el verdadero owner, pero no lo podemos visualizar a simple vista en nuestro mapa de áreas/procesos/activos?
Aquí una lección importante, de por qué detenernos a reflexionar si tal, cual o nosotros somos o no los owner.
Transcendió que un CISO tuvo que renunciar a su empleo en una agencia de gobierno, luego de citar de un incidente de seguridad en su agencia, durante su ponencia en la conferencia RSA. Bob Maley al parecer fue invitado a dimitir a causa de esa divulgación no autorizada, condicionada por una política de no-divulgación de dicha agencia. Según la ponencia de Bob, el estaría hablando de los problemas de seguridad que gente como él tiene que enfrentar en el día a día en las agencias de gobierno.
Aunque a simple vista, parecería que el proceso fue lo justo. Sin embargo, un comentarista de seguridad argumentó dos cosas (de las que citaremos sólo una, para ejemplo y reflexión):
On its face, that’s a sensible policy. No one wants unauthorized people spouting off to the media. But on the other hand, this is a state government, and the government’s business is the people’s business. This is not classified information, and I would argue that it’s not even sensitive information; it’s simply evidence that someone in the Pennsylvania IT organization misconfigured a Web application. Dennis Fisher
Por esto, quizás convenga cambiar nuestra pregunta de ¿quién es el owner? por ¿a quién le afecta más las decisiones o problemas sobre ese activo? Si el owner no es visible, entonces debería haber un owner-proxy, y ese debería tener claro que no vela por sus interéses, sino por los del verdadero owner, de quien necesita su “aprobación para” (defender, atacar, analizar, borrar, etc).
Así como fue una mala idea la Bob, también lo fue la de su agencia en permitirle renunciar sin una aclaración explícita, luego de esos hechos (sea que lo despidieron o no).
JaCkSecurity
Conocimiento, Conciencia y Consultoría
