miércoles, 26 de marzo de 2008

la protección desprotegida,

la paradoja e ironía que me encuentro con los clientes ultimamente cuando hablamos de internet y seguridad, y no es 'moco de pavo' precisamente de lo que estamos hablando porque todo el mundo sabe que la información es muy importante,

se supone pues que la empresa debe proteger mucho y bien sus datos, se supone que debe proteger el acceso, el método de trabajo, la manera de compartir, la organización, el proceso, el ritual de como y cuando se deben dar las noticias... y muchos otros elementos,

bien pues ultimamente me estoy dando cuenta de que todo eso es muy bueno en la teoría que todo el mundo lo sabe y lo entiende perfectamente, pero en la práctica y aun tratando de aplicar de la mejor manera posible se consigue casi el efecto contrario, o sea de seguridad nada,

vamos a poner un ejemplo bien claro, el director de cada departamento de esta X empresa tiene total acceso a internet, asi por la buenas y porque es el 'dueño' de sus decisiones, o sea que para empezar vemos como esa protección se queda casi en 'nada', pero cuidado porque luego curiosamente (paradojicamente o anecdóticamente) los demás usuarios (los que no son jefes de nada y para nada) que son los que deben 'tipear-trabajar' puros tramites burocráticos ortodoxos y entretenidos, puros números que a nadie le interesa pues les haremos sufrir y pasar por un proxy (filtro de contenido) que por si las moscas no se le escape algo y demos al traste el secreto empresarial que venimos guardando,

obviamente nadie se cree hoy en día que un simple operador sepa y sea el que haga el chivatazo al exterior, pues mucho antes de que le llegue a él o a sus manos ha habido tiempo suficiente y medio oportuno para que la misma información secreta se haya filtrado por cualquier otra vía oportuna o inoportuna,

o sea regresando al tema, que el director que debería tener aun mucho mas cuidado que sus documentos no puedan salir ni entrar tan facilmente, que el director realmente se suponga que es el centro que todos quieren acosar y acceder para saber o conocer el último rumor o posible decisión (y no me refiero solamente desde el exterior sino que incluso desde el interior debe ser y estar bien protegido), es el primero en no tener en cuenta esta responsabilidad, debe ver y saber que desde su posición piramidal no puede ser un angulo de salida de ninguna información,

pero en cambio los demás (desde la secretaria hasta el almacenista de al final del pasillo) que no tienen esta información los vamos a estar vigilando constantemente e insistentemente, hasta con cámaras de seguridad si hace falta, hasta en las puertas y patios traseros que no va nadie, para saber que hacen, como y cuando...

quizás a veces con una materializacion de la idea se puede explicar mejor; pongamos un muro alto, gordo y fuerte (firewall), y detrás de este a una pequeña separación tenemos una persiana del que podemos graduar la intensidad de luz que vamos a filtrar desde el exterior que ya de por si no es mucha (proxy), donde identificaremos pelo a pelo quien entra y quien sale, con quien entra y a quien acompaña,

de ahi vamos a decir que en ese muro no salta nadie ni aun queriendo matarse porque realmente nos rodea perfectamente y nos protege infatigablemente, pero ahora vamos a hacer una cosita muy interesante y divertida, vamos a comprar un taladro bien bueno, con una broca robusta, de este nos vamos al muro y decimos... :

- vamos a ver, ¿donde esta el Director?
- ¡¡aqui estoy!!
- aquí estas por esta altura, ¿no? ok pues... con este agujerito en la pared que te voy a hacer ahora mismo vas a tener todo el internet del mundo que quieras, ¿vale?
- ¡¡ Si si si, claro!!
- pues muy bien, alla vamos... bbrbbrrrrruuaaaaa....

siguiente, tu eres el gerente de operaciones blablabla ¿no?, pues te hago aqui ahora otro agujerito para ti solito, para que tambien tengas tu internet libre y total, vale fantastico muy bien; otro mas tu eres el gerente del departamento bliblibli ¿no?, te hago otro agujerito por esta otra altura y en este lado para que tambien tengas tu acceso total, y otro mas y otros muchos mas... que me gusta mucho el taladro nuevo, que se come el muro y persiana de una sola vez,

finalmente cuando terminamos de todos los agujeritos (que casi viene a ser la mitad de todos los ordenadores que existen o realmente necesitan el acceso a internet) tenemos o un queso 'gruyere' o un muro que parece mas un mapa mundi con los pozos de petroleo que otra cosa...

claro que ahora tocará ver que pasa o que tal reacciona el muro este; oye que hace un rato yo no tenia tal acceso, oye que mira por donde que me acaba de llegar esta cosa tan rara, oye que todavia me va lento aunque tenga total acceso a internet (recordemos que encima algunos se quejan de anchura y no ser bien responsable con su area), asi que, la empresa es la misma que la anterior pero mas feliz y convencidisima que esta super al día y super protegida de cualquier acceso externo no deseado, '¡oleeeee... torito!',

pero claro, el director (en la mayoría de las veces) es siempre el que menos sabe de informática, ni debe saber ni debe perder el tiempo en esa herramienta siempre y cuando no sea de su capacidad o su dominio (quizás incluso no tiene caso que pierda el tiempo valioso en aprender como se trabaja cuando realmente debe cuidar de otros aspectos mucho mas importantes),

y definitivamente no se aplicará nunca el metodo donde debe estar realmente bien protegido, debería ser el primero en tener el filtro de contenido mas fuerte que se pueda imaginar (total un director nunca va a mirar porno, coches, juegos ni tonterias desde su posición), luego, debe tener total escaneo y exhaustivo de todo lo que le llega, sea via la que sea, debe saber muy bien con quien se intercomunica, de alguna manera debe entender y cuidar metodicamente su herramienta a su imagne y a su responsabilidad, que definitivamente esta persona no quiere este control o no puede asumir tal grado de protección pues es señal definitiva de que lo que esta fallando no es realmente la informática,

y si luego descubrimos que algo va mal, pues nos pelearemos con el de sistemas, le daremos un par de gritos bien claros, y entonces haremos que el control sea mas fuerte y compraremos mas muros mas anchos, mas camaras de seguridad, mas persianas de mas colores y finalmente... ¡¡tambien otro taladro mas fuerte para seguir teniendo internet libre!!.

Francesc

2 comentarios:

koper dijo...

jajjajajajajja

no hay na ke hacer, estamos rodeaos de inkompetentes

ke les jodan, por capullos

Anónimo dijo...

Tio pero que os pasa, ese firewall y proxy de la empresa "X" te han dejado muchos análisis, bueno, permíteme brindarte otro punto de vista y perspectiva. El Firewall y el Proxy como sabes (y espero no insultarte con eso) no solo son herramientas de protección de datos, en un sentido mas amplio son herramientas de control, hay estudios realizados por varias empresas consultoras como Gartner que muestran que un empleado promedio usa por lo menos 45 minutos diarios de su tiempo laboral en internet para hacer cosas que no son propias de su trabajo, numero que se incrementa año con año, ésto es una pérdida de dinero para la empresa como lo quieras ver, no estamos hablando de Yoga para relajación o cotilleo de pasillos, estamos hablando de uso de energia, equipo de computo, ancho de banda mas tiempo del trabajador, ¿no vale la pena protejerlo aunque sea con agujeros?, lo que nos lleva al tema del escalafón de los agujeros, comencemos con el Director de Sistemas "x" al cual le propones los candados mas duros por protección, y a quien compararemos con el root del departamento; en un sistema cualquiera el admin, root, o super usuario ¿tiene restricciones?, coincido en que debe de tener seguridad, pero la seguridad es perimetral y no aplicada sobre el propio elemento ya que en otro caso no deberia llamarse super usuario, por último todos los demás agujeros para los gerentes y subgerentes si son un problema grave y coincido totalmente contigo en eso, sin embargo la estructura de una empresa es un ente dinámico que aunque sus dueños fundan con el único propósito de hacer dinero y/o bienes (personales o comunitarios, tiende a fundirse en otros propositos donde entra una sub cultura de politica empresarial y círculos de poder y donde las herramientas de trabajo se vuelven herramientas de disuacion y o negociación, ¿apesta? CLARO!!!, pero eso ha sido y sera siempre en todos los niveles de organización humana.

Un saludo y una pequeña ayuda de mi parte para vuestro futuro acervo cultural:

http://es.wikipedia.org/wiki/La_Malinche