 |
|
 |
|
SEGURIDAD
|
|
Última actualización: 8 de Agosto 2004 RESUMEN BIOGRÁFICO DE VINCENT VAN GOGH III) METODOLOGÍA DE VENTA Para ir cerrando estas ideas, quiero presentar la visión que propongo acerca del trabajo de seguridad:
El primer paso es definir la estrategia que se desea para la seguridad de la Organización. Esta estrategia, como su nombre lo indica se realiza al más alto nivel de la organización y en la práctica tiene dos aspectos fundamentales:
Recién a partir de aquí y bajo ningún punto de vista salteando esta etapa (problema muy común), es cuando puede comenzar a elaborarse el Plan de seguridad, el cual deberá realimentar muchas de las decisiones tomadas en la Política, generando con esto un Feedback permanente, característico de todo proceso dinámico. Luego vienen, tanto el plan de seguridad como la documentación. Estos dos aspectos trato de separarlos bien, pues prefiero que desde el inicio se interprete el plan de seguridad (Cómo) de la organización como algo muy "vivo", y diferenciarlo nítidamente de todo un conjunto de documentación adicional, que la relaciono mas con "procedimientos" pues son elementos más estáticos y duraderos, que permiten estandarizar pasos a seguir metódicamente. No quiero entrar en detalles técnicos de los mismos pues no es el carácter de este artículo. Los dos temas trascendentales (y que a menudo no se plantean así) son las acciones y revisiones. Estos pasos son los que nos dan origen a la planificación anual de seguridad, por medio de la cual se realiza lo siguiente:
Para esta actividad se deben conjugar dos elementos:
El organizativo es lo que prácticamente relaciono con un "mini elemento de marketing" que se debe tener en la gerencia de seguridad, y es el responsable de generar todo la información presentable, de manera que refleje exactamente la evolución de nuestro trabajo (sin engaños). El técnico es el responsable de "cuantificar", es decir de generar los valores o parámetros que permitan demostrar objetivamente (y no subjetivamente) lo que está sucediendo, y nos deje evaluar la evolución de lo que se analizó y planificó, los umbrales alcanzados, realizar estadísticas, el grado de cumplimiento y/o las acciones correctivas a realizar, y en definitiva sea quien nutre de información en forma numérica a toda la gerencia. Sin contar con estos "números" una Gerencia de seguridad muere como Van Gogh. Por supuesto que si se trabaja bien, estos "números" son el resultado de la eficiencia con que se está trabajando, pues serán la imagen de los ataques que pasan y los que no, la prioridad de los mismos, el grado de bastionado de los sistemas, las actualizaciones realizadas, las medidas concretas adoptadas (Reglas en FWs, listas de control de accesos, criptografía, resguardos, preparación pre y post incidentes, etc.), en definitiva las acciones reales con que se trabajará a diario. Sobre este punto, me hago un poco de propaganda y aconsejo al lector que esté interesado, a leer más en detalle sobre este tema en otro artículo denominado "Matriz de Estado de Seguridad" que publiqué hace poco en Internet y que trata un poco de cómo poder realizar esta actividad. A través de estos cuatro módulos recientemente planteados, es que se genera esta realimentación hacia el órgano estratégico de la organización (la Dirección), y por medio de estos informes, valores o estadísticas, podemos de manera eficiente, demostrar que se está invirtiendo bien en seguridad, que se cumplen los plazos y objetivos propuestos, que se mejora con las acciones tomadas, que se mantiene actualizado el sistema y en definitiva lograr justificar este retorno de la inversión (ROI), que evidentemente aún nuestros directivos no lo ven. Y aquí aparece entonces nuestro CUARTO PASO: Ser capaces de Cuantificar acciones y revisiones para realimentar la Estrategia, pues sin esta realimentación, la dirección esta ciega y sin lugar a dudas verá año a año que no existe ROI en seguridad, y sí en otras gerencias hacia las cuales destinará nuestros fondos...............y nos llegará un 29 de julio, como a Van Gogh. IV) REITERACIÓN FINAL (Cuatro pasos): PRIMER PASO: sacar provecho de lo que nos ofrece la ley y mostrar resultados. SEGUNDO PASO: Preparar pautas muy claras de estos riesgos, es decir, análisis de riesgos concretos, valorar la información que se tiene, preparar "casos" sobre el impacto que causa en una organización los virus, troyanos, intrusos, negación de servicio, etc. Preparar exposiciones, invitar disertantes, redactar resúmenes gerenciales de hechos de seguridad ocurridos mensualmente. En concreto, mantener viva la consciencia de seguridad a nivel Directorio TERCER PASO: Mostrar resultados concretos a los usuarios y esmerarnos en que se noten, con artículos, mails, novedades, recordatorios, etc. CUARTO PASO: Ser capaces de Cuantificar acciones y revisiones para realimentar la Estrategia PD: Casi cerrando este artículo tuvimos una charla con José Ramón Merino (Responsable de seguridad de Metro) y dijo una frase que me quedó dando vueltas, la repito textualmente: "Por qué no buscar un nombre al tema de seguridad que no sea tan drástico, como es el caso de un plan de continuidad de negocio que está tan de moda y en definitiva es un plan de contingencia, concepto que tienta mucho menos a la inversión de recursos". Es decir, sería bueno encontrar un nombre "más de moda" para representar a la seguridad informática, que no se relacione inmediatamente con "desembolsar dinero a fondo perdido". Me pareció una reflexión excelente, seguro a que alguien con una fuerte formación en marketing o publicidad se le ocurre algo............... les dejo la inquietud. Alejandro C. Corletti Estrada |
|
Gratis Servicio de noticias
|
| Sus Sugerencias son bienvenidas Pincha Aquí |
| ¡¡Lista de correo!! Introduzca su correo: |