lunes, 22 de septiembre de 2008

Separar seguridad organizacional de seguridad informática

Sigo leyendo blogs sobre "seguridad", y aunque algunos comenzaron con cierto sentido, cada vez más leo polémicas autogeneradas mezclando tópicos poco relacionados.

La seguridad en general, aplicada a la empresa y/u organizaciones es un tema bastante amplio de momento (muchas opiniones y "tendencias", pocos procedimientos concretos), con diversas normativas, estándares, certificaciones e incluso legislación mandatoria en algunos países. En cambio, la seguridad informática pasa por cuestiones muy puntuales, y ello puede verse reflejado en la IMPLEMENTACION de las políticas de seguridad IT que resultan luego de recorrer el camino propuesto por X metodología; algunos ejemplos:

- protocolos permitidos de tráfico entrante y saliente,
- existencia de antivirus corporativo,
etc. etc.

La seguridad en general en cambio tiene un ámbito global en la organización, y aunque algunos tipos de organización ya tienen altos estándares de seguridad organizacional hace décadas (militares, inteligencia, centros de investigación empresariales y estatales, etc.); la seguridad institucionalizada recien está haciendo su ingreso a las empresas en general en la actualidad.

Se mezcla mucho la seguridad informática con seguridad en la organización en general y la consecuente problemática de convencer a los "jefes" (directorio, presidente, gerentes, asamble de accionistas, etc.), para gastar tiempo y cuantiosos recursos en hacer lo que será casi de seguro una reingeniería de la organización para adecuarla a las mejoras que brinda adecuarse a un estándar de seguridad determinado.

Es cierto que la seguridad informática en sí no tiene eficacia cabal hasta que no está inserta en una política de seguridad organizacional total; sin embargo no hace falta polemizar más de lo debido sobre si servirá de algo o no estudiar qué protocolos pueden pasar por qué puertos (por ejemplo). Después de todo, no podemos (por ejemplo) calificar como un "avance" la finalización de la redacción de un manual de procedimientos de DR (Disaster Recovery), si mientras tanto todos los protocolos pasan tranquilamente por los puertos salientes a Internet sin regular si es necesario o no para el tráfico que pasa por allí.

Convengamos que no debería costar un esfuerzo adicional significativo que el trabajo IT esté ajustado a mínimos parámetros y procedimientos para mejorar la seguridad ya que es parte de la responsabilidad como empleados del personal IT.

Después de todo siempre se habla de la seguridad "como proceso continuo", "adopción paulatina", "securizar progresivamente", etc. Parte de ese proceso puede ser iniciar ya mismo (a falta de la posibilidad de iniciar una securización cabal), los pasos técnicos OBVIOS Y FACTIBLES para incrementar los niveles de seguridad informática, adoptar la seguridad IT en lo técnico de inmediato si es posible y avanzar desde allí hacia la securización total de la organización.

Usemos el sentido común y securicemos desde allí.

No hay comentarios: