Proyectos globales para departamentos integrales de Seguridad

billete

Desde los inicios del Seg2 (y ya estamos en la VIII edición), hemos visto como algunas de las organizaciones más importantes del mundo posicionaban a sus mejores expertos en seguridad como “Directores de Seguridad Integral”. Probablemente nada más que un noble esfuerzo de los CEOs a la hora de intentar ordenar sus departamentos de seguridad, y de paso, ahorrar un poco de dinero, pero, ¿cuántas organizaciones han tenido éxito y han conseguido las sinergias esperadas?

Hasta hace poco, juntar seguridad física y lógica bajo un único responsable era un tema “voluntario” que decidían los máximos gestores de la organización. Esto era así sobre todo en aquellos tiempos en los que las cuentas bancarias tenían algún cero más. ¿Y ahora? Ahora ya no es voluntario, sobre todo si te han nombrado operador crítico. Esto nos lleva a la pregunta que da título a este artículo, ¿quién puede ser el director de Seguridad Integral?

Director de Seguridad Integral

En empresas de varios tamaños, formas y colores, se observa que en muchos casos han optado por hacer responsable de esta deseada dirección al experto en seguridad física y, en otros pocos, al experto en seguridad de la información. Ambos tienen conocimientos sobre análisis de riesgos, han manejado cuantiosos presupuestos y han podido disfrutar y/o sufrir la gestión de equipos multidisciplinares. La verdad es que no importa la rama de la que procedan, el éxito de este departamento vendrá dado por la habilidad de su gestor a la hora de navegar por los egos y las parcelas de poder de cada uno de sus directores.

Obviamente hay muchas formas de sortear estas pequeñas complicaciones, pero mi favorita es lanzar procesos transversales que impliquen a todos los integrantes, como pueden ser: análisis de riesgos global, formación cruzada, monitorización de sistemas fisicológicos y gestión de incidentes global. Si ya hemos dicho que la convergencia de la seguridad no es una opción, nuestros proyectos y servicios deben seguir esta filosofía.

Uno de los proyectos estrella de estos últimos años es el análisis de riesgos, eso sí, con un matiz importante, que sea global-convergente-integral. Un análisis que amalgame todos los riesgos que puedan afectar a los procesos críticos de nuestras organizaciones. Inevitablemente tenemos que utilizar la palabra metodología, pero con una dificultad añadida. A día de hoy no existe una metodología lo suficientemente completa que junte los riesgos procedentes de varias disciplinas de seguridad. Sí, Magerit y Cramm tienen algunos riesgos físicos asociados a centros de proceso de datos… Y sí, Fine y Mosler comprenden algunos riesgos tecnológicos. En cualquiera de los casos, usar sólo uno de ellos no es razonable si estamos hablando de un análisis de riesgos global. Aquí es donde entra en juego el trabajo interdepartamental, sobre todo, a la hora de cruzar riesgos y planificar medidas que aprovechen las sinergias de las que hablábamos al principio de este artículo.

Otro de los pilares que soporta casi cualquier proyecto de integración departamental es la formación y, en este caso, la formación cruzada. Algo tan sencillo como que “tú me enseñas a mí y yo a ti”. Solemos comprender mejor las necesidades de otros compañeros de trabajo cuando sabes lo que hacen en su día a día. Es común que en organizaciones grandes no tengas ni la más remota idea de qué están haciendo en la planta de abajo, o si me apuras, en la mesa de al lado. Sabes que hay departamentos de recursos humanos, financiero, medioambientales, cumplimiento normativo, etc. Pero si nos preguntaran cómo es un día dentro de cualquiera de estas áreas, nos costaría responder. Poniendo un ejemplo más específico, un responsable de Ciberseguridad no suele saber cuántos conatos de incendio hay en un año. Igualmente, a su homólogo destinado en la central receptora de alarmas le costaría suponer cuántos ataques diarios es capaz de detener un firewall.

Aunque ya lo expuso un CISO que participó como ponente en la VI edición del Seg2, dos años después volvemos a hacer hincapié en uno de los proyectos convergentes que han tenido más éxito en los últimos años: La monitorización de sistemas que comprende elementos tradicionales (servidores, PC, electrónica de red…) y los emergentes asociados a la protección física (vallado inteligente, reconocimiento de imágenes, contraincendios…).

Gracias a la correlación de eventos, sin importar del sistema que provengan, cualquier usuario, con un mínimo de formación, puede identificar un incidente de seguridad, dando una respuesta conjunta y eficaz. La gestión de incidentes desde un punto de vista global es un ejercicio constante de la convergencia. Al fin y al cabo, una intrusión es una intrusión, una vulnerabilidad es una vulnerabilidad…; no debería importarnos si es un agujero en una valla o un fallo de programación en la web de acreditaciones de nuestra organización.

Para terminar, con cierta ironía, pero sin dejar de tomarlo en serio, los ataques que constantemente están sufriendo las organizaciones que intentamos proteger, son claros ejemplos de convergencia. Estos agresores no discuten con su compañero sobre si es mejor entrar en una instalación aprovechando una brecha en un tramo vallado obsoleto, o una vulnerabilidad en un firewall sin actualizar. Simplemente escogen lo más barato, más efectivo y que entraña menos riesgo para conseguir su objetivo. Si no damos respuestas globales a amenazas globales nos sacarán mucha ventaja en esta carrera que no ha hecho nada más que empezar.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s