En una ocasión tuve la oportunidad de revisar el procedimiento que asegura que en una cadena de montaje el tornillo que sujeta la barra de la dirección de un vehículo se introduce correctamente, aspecto como comprenderán de vital importancia por sus implicaciones en seguridad. Dicho procedimiento era el siguiente:
1. Un operario colocaba el tornillo.
2. Otro operario apretaba dicho tornillo con otro par de apriete.
3. Un tercer operario pintaba de blanco el tornillo, y no por una cuestión estética, sino para obligar a que alguien tuviera que hacer algo sobre el tornillo existente.
4. Finalmente, un último operario de calidad revisaba que estaba dicho tornillo y además estaba pintado de blanco, y procedía a anotar el resultado en una hoja de control de calidad; por supuesto, si el operario no encontraba el tornillo no se limitaba a apuntar que éste no estaba y dejaba el coche continuar por la cadena de montaje como si nada.
Con este procedimiento los responsables del proceso estaban razonablemente tranquilos de que todos los coches salían con su tornillo en la barra de la dirección, ya que cualquiera de los intervinientes podía levantar la alarma ante la falta del tornillo. Como pueden imaginar, otro tipo de revisiones más “ligeras” nos podrían llevar a que si el primer operario no pone el tornillo, nadie se da cuenta y el vehículo sale sin dicho elemento, con el problema evidente que eso supone.
Si extrapolamos este caso al campo de las Tecnologías de la Información, aunque en muchos casos las consecuencias del fallo de un proceso no suelen ser del mismo calibre (aunque en ocasiones, como sistemas SCADA de entornos críticos, sí que lo son), tenemos que las responsabilidades de instalación, mantenimiento y auditoría recaen a menudo sobre la misma persona/grupo o departamento en su totalidad.
Así pues, procesos como el parcheado y la configuración segura de servidores, gestión de cortafuegos, cambios de arquitectura, o seguridad perimetral deberían auditarse y revisarse con rigurosidad, por terceras partes ajenas a aquellas que han intervenido en el proceso de instalación o los mantienen funcionando en el día a día; porque además lo más probable, por un simple factor psicológico, es que una persona que tiene un fallo en una instalación o en la gestión de un servidor de producción no se percate de ello aun en el caso de tener que auditar estos elementos.
Por ello, y aquí es donde quería llegar, es imprescindible que el Departamento de Seguridad esté segregado, y revise y audite los elementos de cualquier proceso relacionado con la seguridad con total independencia y desde su propio punto de vista. Es más, en cualquier organización la posición jerárquica del responsable de seguridad debe de estar por encima o en paralelo del responsable de TI, pero nunca por debajo de éste. Eso nos asegurará que dispone de libertad para “levantar la voz” cuando lo considere necesario, y promover iniciativas propias que no son relegadas a un segundo plano por las necesidades inmediatas de TI; en otras palabras, que cuando vea que un tornillo no está donde debe, pueda anotarlo sin que se considere que un tornillo es sólo un tornillo y que es mejor que el coche siga por la cadena de montaje.
En definitiva, no tenemos que olvidar que además de operarios que ponen tornillos, es necesario tener personal que revisa que esos tornillos están donde deben estar, por lo que pueda pasar. Para acabar, les contaría por qué se estaba revisando con detenimiento el tema del tornillo, pero eso es otra historia…
Interesante entrada. Me voy a permitir extrapolar tu disquisición a una situación conocida. Administración Pública. Existe una Sección en la que hay una serie de personas que administran todo lo referente a Comunicaciones y Redes (balanceadores, Switches, Firewalls, Proxies, etc…) Por encima de estos administradores, tenemos a dos Jefes de Negociado (unos para Comunicaciones y otro para Redes), también tenemos un Jefe de Sección que ‘controla’ a los dos Jefes de Negociado. Por encima del Jefe de Sección existe un Jefe de Servicio y por encima de este un Subdirector que está a las órdenes de un Secretario General que depende de un Consejero.
Bajo este galimatías, ¿realmente piensas que las decisiones importantes las toman la gente que entiende del tema? Creo que tienes razón en la mayor parte de tu entrada pero, en lo que se refiere a la segregación no termino de verlo claro. Eso sí, creo, es muy necesaria una auditoría pero no interna, externa a ser posible.
Pienso que este caso, la segregación de funciones debería venir por un Jefe de Negociado de Seguridad, que pudiera defender las propuestas de su área y mantener cierta independencia respecto a Comunicaciones y Redes. Por supuesto, cualquiera de los n+1 jefes que hay por encima (¡qué bonita es la Administración!) es libre de darle preferencia a un área sobre otra.
No obstante, esto puede pasar prácticamente en cualquier organización, donde al final alguien decide qué proyectos van hacia delante y qué proyectos no. La idea es que en la rutina diaria, las funciones de mantenimiento e instalación se mantengan segregadas de las de auditoría y revisión.