Comunidad

14 de octubre de 2019 | por: Comunicación EADIC | 0 comentarios

Las soluciones de seguridad informática, ¿una verdadera entropía?

Antes de entrar en materia de lo que será este artículo, quisiera ponerlos en perspectiva, de modo que sabrán si lo que sigue les será de interés o no.

Un día cualquiera de nuestra cómoda rutina laboral, tu jefe te llama a su oficina y te dice: Hay que comprar un nuevo firewall, creo que ese que ya lleva más de 15 años podría sacar la mano en cualquier momento, seguramente con ese estamos bien pero es mejor no arriesgarse, el elegido para esta “simple” tarea eres tú.

Tú, como buen profesional en seguridad y empelado multifacético desarrollaras el rol de Arquitecto de seguridad y serás el responsable por cambiar el “aparatejo”. Si es tu primera vez, seguramente, antes de iniciar formalmente el proyecto y emprender todas las actividades necesarias para llevarlo a buen término, harás lo siguiente: prendes tu pc, abres un browser escoges tu buscador preferido y le pones, Firewalls en el mercado y es aquí donde empieza tu calvario.

El mercado de las soluciones de seguridad informática ha crecido exponencialmente, recuerdo lo fácil que era hace unos añitos comprar x o y solución de seguridad, habían como 2 0 3 máximo 4 proveedores, los llamabas y preguntabas quien era el más barato y aquel que tuviese la osadía de bajar el precio a lo máximo, pues se quedaba con el negocio, como extraño esos tiempos aquellos, la vida era más fácil, no teníamos tanta seguridad, pero que carajos, la vida era buena.

En un momento dado empezó la proliferación de fabricantes de soluciones de seguridad, el mercado se ve inundado de tan variada oferta, hay un sinfín de soluciones para todo, cualquier cosa que se nos ocurra, de seguro algún fabricante tiene la solución específica, por más rebuscado que sea.

Es aquí donde quiero utilizar el concepto de entropía, para quienes no están familiarizados con el concepto voy a tratar de definirlo de la manera más simple posible. La entropía es un término que se usa en Física Termodinámica y sirve para medir el grado de organización de un sistema, nosotros los ingenieros nos encontramos con este término cuando vemos una materia llamada Teoría de la información y comunicación y aquí la entropía se usa para medir el grado de incertidumbre de una fuente de información, luego en seguridad de la información unos de los temas que utiliza este el concepto de entropía es la criptografía, aquí se usa para medir que tanto caos o desorden hay en un texto cifrado, a mayor entropía mayor caos, lo que es bueno para un criptosistema (o no?).

Es precisamente esta palabra la quiero destacar, CAOS, el mundo de las soluciones de seguridad informática es un caos, al día de hoy luego de charlar y compartir experiencias con diferentes colegas en este mundo de la seguridad de la información, no he conocido el primero que no haya sufrido en mayor o menor medida con la adquisición e implementación de soluciones de seguridad informática.

Hace pocos días un colega muy apreciado, quien tuvo la fortuna de poder asistir a uno de los eventos de seguridad, no desaprovecho la oportunidad para alardear al respecto (así somos los profesionales en seguridad, está en nuestro ADN), voy caminado tranquilamente por mi sitio de trabajo (en casa, afortunadamente trabajo en una empresa de vanguardia, donde el teletrabajo es cultura), de momento recibo una imagen de parte de mi colega, la veo e inmediatamente capta toda mi atención, era una imagen con una frase que decía “We dont need more tools, We need new rules”.

Esto es una afirmación fuerte, verán, en este CAOS de las soluciones de seguridad informática se darán cuenta que todos los fabricantes venden lo mismo, solo que lo dicen de diferentes formas el mensaje siempre es el mismo: “cásate con nosotros que nosotros te solucionamos la vida por completo” el problema es que luego, eso no sucede y lo digo por experiencia.

Entonces tengo ante mis ojos esta hermosa frase que parece nos va solucionar la vida, le escribo a mi colega para que por el amor de Dios indague a fondo sobre lo que este fabricante ofrece, moría de ansiedad por devorar lo que sea que fuera de información, documentación, etc., sobre esta nueva postura de seguridad.

Al cabo de unos 30 o 40 minutos, recibo el mensaje de respuesta, lo primero que recibo es un emoticón de estos que muestran una cara de decepción, seguido de la frase más de lo mismo. Resulta que la solución se basaba en nuevas herramientas, es decir más de lo que no necesitamos. Así que, por ahora es una bonita frase, será tarea nuestra hacerlo realidad.

Ahora, les conté el problema pero no les he dado herramientas para que se puedan superar este tipo de situaciones sin morir en el intento, o por lo menos sin que esto los haga quedar mal, los proyectos de adquisición e implementación de soluciones de seguridad informática han sido el tropiezo de muchos profesionales en seguridad.

Entonces, para poder llevar a cabo con éxito una adquisición e implementación de soluciones de seguridad informática les doy las siguientes recomendaciones:

  1. En necesario saber de gestión de proyectos, toda adquisición e implementación debería llevarse con un proyecto, te darás cuenta con el tiempo que se vuelve algo monótono.
  2. En el momento de la selección de la solución, para hacerse la vida fácil es recomendable usar una matriz de escogencia de proveedor, esto es una herramienta que se usa en gestión de proyectos para selección de proveedores, allí se consignan los criterios de selección, los pesos para cada criterio y las calificaciones para cada proveedor. Muy importante aquí los criterios de selección, aquí es donde necesitaras de tus habilidades de gestor de riesgos y tu sabiduría técnica.
  3. Se hace indispensable sacar a relucir esas dotes de Arquitecto de seguridad que llevamos dentro, si no, pues habrá que desarrollarlas, porque la implementación de un nuevo sistema de información en una infraestructura requiere conocimientos y habilidades de arquitectura de seguridad, empezando con los requerimientos mínimos de seguridad que habrá que cumplir, hasta llegar a las topologías de cómo se debe implementar la solución
  4. Es necesario tener un profundo conocimiento sobre la solución que se va a implementar desde la perspectiva meramente conceptual, por ejemplo si vamos a implementar un firewall hay que saber cómo funciona un firewall, para que sirve, que tipos de firewall hay, como en la industria se han desarrollado los firewall actuales.
  5. Una vez escogida la solución, es necesario aprender sobre el fabricante, para ello, normalmente los fabricantes regalan un curso sobre la plataforma adquirida, allí mete a la mayor cantidad de personas que quepan, de 10 seguramente 2 0 3 aprenderán lo necesario para poder soportar la solución. Aquí mismo referencia claramente donde se encuentran los manuales, tutoriales y soporte del fabricante. Para nadie es un secreto que los servicios de soporte no son muy agradables.
  6. En la mayoría de casos los buenos arquitectos van hasta el punto anterior, como recomendación y generar valor al ir un poco más allá, antes de terminar el proceso de implementación seria optimo definir el proceso de gestión, administración y/o operación de la plataformas, es decir, todas las actividades que serán el día a día de la misma.

 

Autor: Miguel Ángel Beltrán, docente del Máster en Seguridad de la Información y Continuidad del Negocio de EADIC

Comentarios

Deja tu comentario

You must be logged in to post a comment. So log in!

EADIC Blog