Las políticas de seguridad pueden convertirse en una excusa para dejar de ser exhaustivos en la protección de TI y seguir únicamente la letra de un documento.
Hace unas semanas, en un foro, me encontré con un responsable de la seguridad informática de una organización, y platicando sobre temas de seguridad en las corporaciones, empezamos a hablar sobre la problemática de mantener todos los equipos de cómputo con un antivirus activo y actualizado. “Solo debo preocuparme de los equipos que se conectan a mi consola central de antivirus”, me respondió.
Le contesté que había casos en los que ciertos sistemas podrían no conectarse a la consola central. Por ejemplo, sistemas que están en redes aisladas o equipos en situaciones similares. “¿Entonces, tú no tienes este tipo de equipos en tu empresa?”, le pregunté. “Sí, claro. Hay un pequeño porcentaje de sistemas en ese tipo de redes o que no son estándar. Pero aquí viene el truco. Como la política de seguridad dice que solo debo preocuparme por los sistemas estándar con conexión a consolas, entonces eso es exactamente lo que hago”, me dijo.
Interesante, pensé. “¿Y cuando esos sistemas se infectan, supongo que los tienes que atender tú, no?”. “Sí, me llaman para limpiarlos y atenderlos”, respondió. “¿Entonces, no sería más provechoso ocuparse de ellos preventivamente, sin mencionar que eres el responsable de la seguridad en tu empresa?”. Me contestó que era difícil mantener un listado de sistemas sin conexión a su consola central de antivirus o de equipos no estándar, y que era más fácil dejarlos así y darles la bendición. Sin mencionar que, ante cualquier auditoría, él y su gente estarían libres de pecado dado que la política era muy clara al indicar que solo eran responsables de los equipos estándar que se conectan a la consola central del antivirus. Y la política está ahí para seguirla, ¿no?
Me incomodó ese punto de vista; el de “solo hago lo que la política me dice que debo hacer”. En primer lugar, la política no define todas las funciones y es un error confundir una con las otras. La función de un encargado de la seguridad no está totalmente definida en la política; de hecho, en algunas empresas precisamente para eso hay un manual de funciones donde se definen las responsabilidades de un puesto. En segundo lugar, se me hace una visión muy corta y hasta cierto punto irresponsable la de mis colegas que piensen de esa manera.
Un encargado de seguridad informática no debe pensar solo en proteger lo que dice la política y los procedimientos, porque el encargo que le ha dado la organización es, al menos, proteger la información que fluye por los bienes informáticos, no importa si están en redes aisladas o si son “no estándar”. Eso es algo irrenunciable. No sé si “hacer solo lo que está escrito” sea una cuestión de actitud o una postura general personal, pero creo que ese pensamiento de “hacer solo lo que me piden” inunda otras áreas informáticas y no informáticas. ¡Dios no quiera que, en una de esas, hagamos de más!
En fin. Yo no comulgo con esa idea. ¿No podemos hacer las cosas bien, sin dejar nada a medias, simplemente porque es nuestro trabajo? ¿Porque para eso nos pagan? ¿Porque es parte de nuestras funciones? El objetivo de un responsable de seguridad es proteger la información. Que esto quede como reflexión para empezar el año.
Por: Fausto Cepeda González, IBM