Problemas de seguridad exigen un trabajo de calidad a fondo

28 Abr 2004 en Seguridad

La implementación de la seguridad en una empresa enfrenta muchos obstáculos prácticos como la falta de recursos humanos especializados, recursos tecnológicos o planes adecuados. Cuando se habla de IT, la calidad se presenta como algo costoso.
Los especialistas en seguridad saben desde hace mucho tiempo que existe una relación directa entre los errores presentes en los sistemas y los problemas de seguridad. Paradójicamente, aunque esto es bien sabido, no se atiende a la raíz del problema. En lugar de ello, se compran hardware y software de alto costo y se contrata gente para equilibrar esa carencia básica de calidad.
Este cuadro padece de fallas esenciales. La calidad, tal como lo ha aprendido la industria, debe estar presente en los productos y eso se logra atendiendo a los problemas en los procesos. Si la manufactura siguiera el modelo de IT, los costos ser irían a las nubes, se tiraría gran parte de la producción y los clientes estarían insatisfechos. Antes de gastar dinero en más tecnología y agregados post-problema que se enfocan en los síntomas, IT debe cambiar su propio foco y centrarse en sus procesos centrales.
Un estudio de CompTIA realizado el año pasado mostró que el 63% de las brechas de seguridad son atribuibles a factores humanos. El mismo estudio, muestra que este año ese porcentaje es del 83% a pesar de una mayor información y aparente toma de conciencia sobre el problema.
Es cierto que algunas amenazas concretas deben ser mitigadas con firewalls, aplicaciones antivirus y otros recursos, pero esto no debería alejar la atención de los procesos de trabajo en IT.
Cuando se habla de calidad en el campo de IT, lo primero que nos viene a la mente son consultores externos y mucho software. Esta primer tentación debe ser resistida y antes de realizar cualquier clase de acción conviene formularse tres preguntas:
¿Están los procesos necesarios formalmente documentados? ¿Existen pruebas que muestren que la gente realmente actúa según la forma en que los procesos están documentados? ¿Se está pensando en una mejora continua a través de auditorías y benchmarking (comparación de casos)?