Debido a los hechos delictivos publicados por los medios de noticias en los últimos días en nuestro país, las empresas se acercan cada vez más a la búsqueda de una alternativa para contrarrestar esta nueva epidemia de delito; como miembro de un equipo que trabajo para contrarrestar este flagelo, desde mi punto de vista, y que en ocasiones dista mucho de las posiciones absolutistas de la seguridad informática, donde hacen apariciones las "balas de plata" ya mencionadas por escritores como Richard Bejtlich en su libro el Tao de la Monitorización de seguridad en Redes, haciendo alusión a un producto, una marca e incluso el cambio del sistema operativo, como solución total de la seguridad informática en las empresas, la seguridad no depende de uno solo de estos factores sino del buen acoplamiento que estos tengan entre sí, para brindar las opciones más cercanas a una postura aceptable en seguridad informática, así que temo decir que, ante estas circunstancias hacen sus apariciones medidas desesperadas por altos dirigentes que en su gran mayoría de las veces suelen empeorar las posturas asumidas hasta ese momento por el personal encargado, exigiéndoles tomar algún tipo de solución inmediata, desconociendo evidentemente el principio elemental de alcanzar la seguridad como un proceso y no como un producto, todo esto sumado a múltiples fuente de agentes comerciales que preocupados mas por alcanzar la cuota del mes, no desaprovechan la llamada de auxilio de dichos clientes bautizado solo como potenciales hasta ese momento y utilizan este primer acercamiento, no como un cambio cultural en las compañías, sino para la divulgación de su producto como la salvación de sus problemas, más allá de una asesoría mediante un estudio previo del alcance y perfil de la organizacion y entonces sueltan su “Bala de Plata,” por eso, no es de extrañar que dichos proveedores comiencen por preguntar cosas tan absurdas como, cuanto es su presupuesto? y no cual es el valor de los activos a proteger? o el perímetro de su organización?, los resultados desafortunadamente para las empresas de nuestro medio, resulta no solamente frustrante y caótico el tener que enfrentar un problema con otro peor, al tener que admitir que aquel producto requiere como en la mayoría de los casos un conjunto de productos que parecen unirse como una cadena sin límites, (osea que la seguridad es un problema sin solucion ???), indudablemente esto genera en ultimas mas caos y decepción en el acercamiento a un cambio cultural en las empresas, desmotivando completamente a dar un primer paso hacia la inversion en la seguridad informatica o en algunos otros casos dado que no se concibe la seguridad como un proceso de gestión, es que terminan lanzando licitaciones en ocasiones públicas, solicitando un producto “xyz” que les cobije hasta la concientización de los usuarios en seguridad informática, claro es casi logico que se queden los ofertantes y se termine pensando que dicha solucion no existe, por este motivo quiero resaltar el uso de Ossim ahora más que nunca, la importancia de los procesos en las compañías de adoptar medidas preventivas más que correctivas con múltiples puntos de vista de soluciones actuales, configuradas a medida de un perfil especifico que se acople al entorno actual y sea eficaz para la función a desempeñar, sin tener que hacer grandes inversiones y utilizando todo el entorno de los montajes actuales, para lograr eficacia y simplicidad a la hora de la gestion de seguridad.
Ante situaciones delictivas tan cercana a nuestro alrededor, se debe también pensar en soluciones que nos permitan la detección temprana de nuestras posturas de seguridad, Ossim como solución de seguridad informática para cumplir el roll de aplicación de monitorización en “tiempo real”, y ayuda en la gestión de continuidad del negocio mediante, el cumplimiento de los estandares de procesos paralelos a la gestión de seguridad informática, es muy buena opción pero no la única, dado que debería estar existiendo con otras medidas que difieren de sus principios, solo así en entornos heterogéneos, la posibilidad de una vulnerabilidad ante un producto se puede minimizar el impacto para que no transcienda sobre los demás. Y contrario a las frases que los grandes fabricantes divulgan como “la línea de nuestros productos es la mejor y más completa opción” se contradice con la de la seguridad concebida a través de sistemas heterogéneos.
Rodrigo Bedoya.
Departamento de Seguridad informática I2T de la UNIVERSIDAD ICESI.
Cali Colombia.
Documento publico .
Entradas
