En una ocasión tuve la oportunidad de revisar el procedimiento que asegura que en una cadena de montaje el tornillo que sujeta la barra de la dirección de un vehículo se introduce correctamente, aspecto como comprenderán de vital importancia por sus implicaciones en seguridad. Dicho procedimiento era el siguiente:
1. Un operario colocaba el tornillo.
2. Otro operario apretaba dicho tornillo con otro par de apriete.
3. Un tercer operario pintaba de blanco el tornillo, y no por una cuestión estética, sino para obligar a que alguien tuviera que hacer algo sobre el tornillo existente.
4. Finalmente, un último operario de calidad revisaba que estaba dicho tornillo y además estaba pintado de blanco, y procedía a anotar el resultado en una hoja de control de calidad; por supuesto, si el operario no encontraba el tornillo no se limitaba a apuntar que éste no estaba y dejaba el coche continuar por la cadena de montaje como si nada.
Con este procedimiento los responsables del proceso estaban razonablemente tranquilos de que todos los coches salían con su tornillo en la barra de la dirección, ya que cualquiera de los intervinientes podía levantar la alarma ante la falta del tornillo. Como pueden imaginar, otro tipo de revisiones más “ligeras” nos podrían llevar a que si el primer operario no pone el tornillo, nadie se da cuenta y el vehículo sale sin dicho elemento, con el problema evidente que eso supone.
Si extrapolamos este caso al campo de las Tecnologías de la Información, aunque en muchos casos las consecuencias del fallo de un proceso no suelen ser del mismo calibre (aunque en ocasiones, como sistemas SCADA de entornos críticos, sí que lo son), tenemos que las responsabilidades de instalación, mantenimiento y auditoría recaen a menudo sobre la misma persona/grupo o departamento en su totalidad.
Así pues, procesos como el parcheado y la configuración segura de servidores, gestión de cortafuegos, cambios de arquitectura, o seguridad perimetral deberían auditarse y revisarse con rigurosidad, por terceras partes ajenas a aquellas que han intervenido en el proceso de instalación o los mantienen funcionando en el día a día; porque además lo más probable, por un simple factor psicológico, es que una persona que tiene un fallo en una instalación o en la gestión de un servidor de producción no se percate de ello aun en el caso de tener que auditar estos elementos.
Por ello, y aquí es donde quería llegar, es imprescindible que el Departamento de Seguridad esté segregado, y revise y audite los elementos de cualquier proceso relacionado con la seguridad con total independencia y desde su propio punto de vista. Es más, en cualquier organización la posición jerárquica del responsable de seguridad debe de estar por encima o en paralelo del responsable de TI, pero nunca por debajo de éste. Eso nos asegurará que dispone de libertad para “levantar la voz” cuando lo considere necesario, y promover iniciativas propias que no son relegadas a un segundo plano por las necesidades inmediatas de TI; en otras palabras, que cuando vea que un tornillo no está donde debe, pueda anotarlo sin que se considere que un tornillo es sólo un tornillo y que es mejor que el coche siga por la cadena de montaje.
En definitiva, no tenemos que olvidar que además de operarios que ponen tornillos, es necesario tener personal que revisa que esos tornillos están donde deben estar, por lo que pueda pasar. Para acabar, les contaría por qué se estaba revisando con detenimiento el tema del tornillo, pero eso es otra historia…