La idea que este gráfico representa, es demasiado frecuente en seguridad informática (aunque también es un error muy frecuente en otras materias). En algunos cursos he dado un ejemplo similar, que grafíca que la seguridad debe ser holística: no tiene sentido comprar una puerta blindada, y una cerradura costosa, si se va a dejar la puerta abierta.
Quienes trabajen o hayan trabajo en seguridad, o redes; podrán aseverar lo mismo que yo: este escenario es muy frecuente en diversas empresas.
Lo que me resulta interesante de todo esto, es pensar a qué se debe esta realidad. ¿Cuáles son las causas para que muchas empresas tengan por algún lado medidas de seguridad costosas y efectivas; pero por otro lado vulnerabilidades demasiado sencillas de explotar?
Bueno,podríamos definir a una causa general, y después pensar las aristas que se desprenden de ella: el desconocimiento. Es decir, quien comete estos errores es porque en primera instancia no entiende que la seguridad debe ser abarcada a lo largo de todos los activos de la organización, y con medidas congruentes para ofrecer protección en diversos niveles de la red y la información.
Aclaro: no estoy hablando de redes 100% seguras porque, por si no lo saben, eso no existe. Es obvio que en algunos aspectos se estará más o menos protegido. De lo que estoy hablando es de cuando se hacen costosas implementaciones en un único aspecto de seguridad y por otro lado se cometen errores elementales en la misma materia.
Extendiendo a la idea del desconocimiento, es muy frecuente ver que la seguridad quede a cargo de personas muy técnicas, muchos de ellos administradores de redes. Aunque muchos administradores de redes conocen mucho de seguridad, no todos lo hacen. Y no todos poseen los conocimientos de gestión o aspectos no técnicos necesarios para hacerse cargo de la seguridad de una red. En estos casos, puede darse el escenario de implementaciones a medias, implementaciones sueltas de aspectos meramente técnicos, que dejar agujeros en otros aspectos.
Por dar un ejemplo muy tonto, el firewall es el ejemplo número uno. Cualquier administrador de red gasta en nombre de la seguridad un monto considerable de dinero para poner un firewall en su red. Pero muy pocos consideran a la seguridad en un plan completo y que contemple otras variables.
Por otro lado, otro motivo para este tipo de situaciones, y que me resulta más interesante aún, es la importancia de aparentar seguridad. Para muchos informáticos la seguridad no es algo por lo que realmente se preocupan. Pero sí saben que “está de moda” la seguridad, y es muy frecuente que gerentes o superiores pregunten “¿Y cómo estamos en seguridad?”. Entonces, siempre es bueno tener a mano alguna implementación importante, un gasto de dinero llamativo, o alguna tecnología de última tecnología para decir: “Sí, acá tenemos mucha seguridad”. La realidad es que, como bien dice el chiste, muchas veces se está muy lejos de tener seguridad, pero es muy probable que ni se note.
Fuente: http://unmundobinario.com/2009/07/21/la-sutil-diferencia-entre-aparentar-seguridad-y-tener-seguridad/
0 comentarios:
Publicar un comentario