Hola,
Los versus entre Schneier y Ranum son por lo general, bastante interesantes. Creo haber mencionado en más de una ocasión que ambos tienen una capacidad innata a la hora de escribir y explicar seguridad que hace que seguirlos y comprenderlos sea fácil para cualquiera. He aquí un nuevo ejemplo.
Llevaba toda la semana queriendo comentar el último cruce que han tenido, ya que es un tema de mi especial interés. Se trata de la IT consumerization, o popularización de las tecnologías de la información, un tema que da mucho que hablar pero que habitualmente sólo se trata desde la perspectiva puramente social o tecnológica, y no de la seguridad. Abundan los artículos donde se habla del abaratamiento, de las curvas de adquisición de tecnología, de los impactos en la vida social, nuevas maneras de trabajar, el networking … pero los textos donde se habla del impacto en la seguridad, especialmente la corporativa, son más limitados. Es precisamente de esto de lo que hablan Bruce Schneier y Marcus Ranum, y sobre lo que yo quiero opinar.
En síntesis, Schneier defiende que el imparable avance de la tecnología no puede ser frenado por los departamentos de seguridad, y que éstos deberían amoldarse a los nuevos tiempos. Un ejemplo concreto es que los usuarios poco a poco disponen de tecnologías más recientes y actualizadas que las corporativas para el escritorio, con lo que carece de sentido impedirles usar sus soluciones domésticas en el ámbito laboral, así como obligar a los empleados utilizar dos o más móviles o portátiles por el mero hecho de segregar lo personal de lo profesional. Ranum opina en una línea antagónica, ejemplificando la tendencia como la incapacidad de las organizaciones para dar cabida a los usuarios más evolucionados, y que abrir las puertas es poco más o menos, arruinar lo que se lleva años construyendo en lo que seguridad de la información se refiere.
La primera pregunta que cabe hacerse es ¿existe un punto medio? ¿o es esto una cuestión de un extremo u otro? Yo no suelo ser partidario de posiciones extremas, ya que la experiencia me demuestra día a día que cada empresa es un mundo, y lo que funciona en la organización A a las mil maravillas puede ser un desastre en la empresa B, y viceversa. Así que creo que no se trata de posicionarse en una opción u otra por el mero hecho de posicionarse, o por lo que dicten las mejores prácticas. Es una decisión estratégica como otra cualquiera, y como tal, hay que fundamentarla más allá de lo que digan los analistas, los gurús de la tecnología y los white papers.
He visto organizaciones donde me sentiría perfectamente tranquilo si el grueso de usuarios llevasen sus portátiles o iPads y los enganchasen a la red corporativa. También he visto organizaciones apenas pasados cinco minutos desde que esos usuarios entrasen en la red, habría una contaminación masiva de malware y la propiedad intelectual de la organización probablemente terminaría en un buzón de correo web o en una red de pares. Incluso dentro de una misma entidad es frecuente ver grupos dispares de usuarios, con perfiles muy distintos y que por tanto, muy probablemente, tendrán requisitos distintos. La variabilidad es demasiado grande como para dictar normas al respecto.
Al final cada cual escoge la manera en la que quiere hacer las cosas. Lo más importante de todo es que, se elija lo que se elija, se sea consecuente con lo que se hace. Y es aquí donde a veces te preguntas en qué piensa la gente cuando planifica su seguridad. Ser incongruente en este campo es extremadamente sencillo, y luego, nos quejamos de sufrir problemas, o en el otro extremo, nos quejamos de que los empleados son poco productivos y carecen de flexibilidad. Quizás vaya siendo hora de profundizar un poco más, conocer mejor lo que hacemos e ir más allá de la tabula rasa a la hora de gestionar la seguridad de nuestros negocios. El avance tecnológico es imparable, y hay que aprender a determinar cuándo podemos tomar ventaja y cuando hay que ser conservador. ¿No es eso, a fin de cuentas, lo que llamamos gestionar?
Un saludo, y buen comienzo de semana para todos :)