07 noviembre 2011

De Don Quijote a Oficial de Seguridad

Este post surge a raíz del testimonio más frecuente de aquellos que tienen a cargo áreas de seguridad, donde el común denominador es la decepción por no lograr el nivel de seguridad que ellos consideran que deben tener sus Organizaciones.

Del párrafo anterior surgen algunos aspectos importantes, uno relacionado con el "nivel de seguridad que ellos esperan" y lo otro referido a "sus Organizaciones".

Es muy común que quien se desempeña en un área de seguridad, o mejor dicho en temas de seguridad, aunque no tenga un área (que no es un tema menor), suela decepcionarse ante algunas cuestiones que se presentan en la Organización, donde pueden llegar incluso hasta enfrentarse con los usuarios y ponerse en el rol de "autorizo o no autorizo" lo que podría confundirlos en una lectura rápida con un Dueño de Datos :P

Podría ser un factor común en estas personas el hecho de llevar adelante iniciativas de seguridad no porque sean requeridas desde los negocios o en el mejor de los casos desde la Alta Dirección, sino porque o el departamento de sistemas decide encarar un determinado tema, o ellos desde el área de seguridad consideran que la seguridad en la Organización debería ser otra.

Si uno busca casos exitosos de gobierno de la seguridad es muy probable que los encuentre en aquellas organizaciones que consideran a la seguridad un aspecto fundamental y por tal motivo la Alta Dirección se encuentra involucrada. También es probable que en estas empresas nos encontremos con un Oficial de Seguridad, mientras que en las otras nos encontremos con "Don Quijote" luchando contra los molinos de viento.

Y aquí es donde queríamos llegar, aquellos "Don Quijote" que niegan accesos, bajan servicios, desinstalan programas, en definitiva cubren una serie de roles, menos el del Oficial de Seguridad. Ahora bien, ¿qué debería hacer un Oficial de Seguridad? en principio podríamos decir que su función principal es acompañar al negocio identificando los riesgos asociados a la actividad que se lleve a cabo, ofreciendo recomendaciones para el tratamiento oportuno de los mismos y en todo caso realizando el advisor necesario para que aquel que tome las decisiones cuente con toda la información requerida. Como se puede identificar, el rol es principalmente de asesor, de acompañamiento al negocio.

Teniendo en cuenta esto último, podríamos decir que entonces las distintas medidas de seguridad que se implementen, de acuerdo al tratamiento oportuno de los riesgos, no las estaría determinando el Oficial de Seguridad, sino el Dueño de los Datos involucrados. Lo que si estaría haciendo el Oficial de Seguridad es describir las alternativas que se podrían implementar con el objetivo de dar el tratamiento requerido por el Dueño de Datos. Nuevamente en un rol de asesoramiento a quien toma las decisiones. Finalmente producto de las decisiones de quien está a cargo de la gestión del riesgo, se realizarán las acciones que se consideren oportunas. Si en todo caso, la decisión ha sido asumir el riesgo identificado, es el Oficial de Seguridad quien deberá documentar la situación obteniendo la conformidad del Dueño de Datos, pero no para librar una batalla y convencerlo de que podría estar equivocado, sino para documentar el caso y continuar con sus otras actividades.

Si retornamos al escenario inicial donde la persona de seguridad estaba luchando contra la Organización, en este caso el Oficial de Seguridad ha documentado una decisión de negocio y continuará con sus actividades, dado que ha cumplido su rol de asesor para la toma de decisiones. En todo caso si la decisión por parte del Dueño de Datos ha sido errónea, la Organización pagará por tal equivocación y el Oficial de Seguridad deberá demostrar su "Debida Diligencia" habiendo realizado el "advisor" a quien ha tomado las decisiones, incluso evidenciando su disconformidad con las mismas.

Obviamente la Organización debería tener un grado de madurez en el cual se interpreten los distintos roles y las limitaciones de cada uno, dado que en otro escenario se intentaría culpar al Oficial de Seguridad por la equivocación del Dueño de Datos. Este tipo de organizaciones podría corresponder con aquellas donde el interés por la seguridad no cuenta con el apoyo de la Alta Dirección, sino que las iniciativas son generadas desde distintas áreas de staff.


Es aquí donde se podría identificar quizás el desafío más importante para un Oficial de Seguridad, y no es el hecho de capacitar a los usuarios, lograr que los desarrolladores contemplen cuestiones de seguridad, o que las áreas de IT documenten su trabajo. El desafío principal que podría enfrentar un Oficial de Seguridad es despertar el interés y compromiso por la Seguridad de la Información en la Alta Dirección o el Management de la Organización. Logrando esto último, todo lo anterior se podría realizar sin mayor conflicto, simplemente porque lo exige la Dirección.


Para lograr el establecimiento del escenario descripto, se deben conjugar una serie de cuestiones, tanto de las características personales y las competencias de quienes ocupen los distintos roles, como también de aquellas cuestiones culturales propias de la Organización.

Finalmente cabe destacar que los distintos roles descritos corresponden a lo establecido por las buenas prácticas y lo que se recomienda para el establecimiento del Gobierno de la Seguridad de la Información, donde dicho Gobierno claramente no depende de una persona o de un rol, sino de las distintas decisiones que tome el negocio, con el acompañamiento de los especialistas, pero limitando claramente la responsabilidad por el resultado final que determinará el grado de exposición de la Organización.





-------------------------
Contribución por Mariano M. del Río

6 comments :

Madrikeka dijo...

Muy buen texto.

Es verdad..que lo que hay que hacer es buscar soluciones o a portar ideas y no ponerse en plan restrictivo por que sí o por que no...

pero cuando suben documentos confidenciales a dropbox...a mi es que me sacan de mis casillas XD

Wqweqwe dijo...

Sólo sugerir que esa americanización del término "oficial de seguridad" me parece horrenda.

Mariano del Río dijo...

Lo tendré en cuenta, gracias por el comentario.

Antonio dijo...

Que gran artículo ! Felicidades

Batmanclark dijo...

Estoy contigo, cuantas veces me pongo de mala leche, porque me dicen que las claves de seguridad que configuro para acceder a los equipos son muy complicadas y que las cambio con frecuencia. O de que me pongo paranoico porque se envian ficheros a sitios como dropbox o similares sin ni siquiera crifrarlos.

Francisco Javier Ibarra dijo...

Exelente Articulo, pero aqui la custion es " el Oficial de Seguridad, ¿es una utopia? la mayoria de Empresas de Seguridad no ofrece este tipo de oficiales, con la formación necesaria, y mucho menos las Organizaciones buscan estos roles en los oficiales y mucho menos pagarían por ello.
Saludos
Francisco javier Ibarra