Todos tenemos claro que, si hablamos de seguridad de la información, nadie está a salvo de tener un incidente de seguridad. Todos nos sabemos de carrerilla el famoso dicho de que la seguridad 100% no existe... Y sin embargo, cuando aparecen noticias como esta, la mayoría nos preocupamos.
En este caso, parece que lo que han robado es un servidor con datos secretos de la policía británica. Y lo han hecho cuando dicho servidor estaba en manos de una tercera empresa. ¿Qué análisis se podría hacer de este hecho en términos de seguridad de la información? Unos cuantos, desde mi punto de vista.
En primer lugar, está el hecho de que exista una subcontratación. No es problemático en sí mismo, siempre que se tomen las medidas adecuadas. Aunque está claro que un secreto lo es menos cuantas más personas/entidades participen en él... Se supone que la policía debería obligar a la empresa subcontratista a cumplir unos estrictos requisitos de seguridad, y del tono del artículo se desprende que esto se cumple, así que primer escollo superado. ¿Se cumplirán todas las premisas y recomendaciones de la 27002 en los apartados de acuerdos con terceras partes? Contemplará el SLA correspondiente las penalizaciones y consecuencias derivadas de este tipo de incidentes?
El segundo aspecto a destacar es el reparto de responsabilidades no sólo por el incidente en sí mismo, sino también de cara a su resolución. La empresa subcontratista parece que ha cumplido su parte (datos protegidos (cifrados?) y copia restaurada), y la policía aparentemente también, como responsable de los propios datos (del artículo original parece desprenderse una asunción de responsabilidades). Aunque... hasta qué punto estaría esto regulado en el contrato?
Y sin conocer nada más que la información que aporta el artículo oficial, me aventuro a pensar que el principal fallo no ha estado en las medidas preventivas, sino en su verificación. La verdad es que no es habitual el realizar "tests físicos de intrusión", pero si estamos hablando de datos de tal sensibilidad, y de una subcontratación por medio, creo que la auditoría por parte del subcontratista de las medidas reales de seguridad que está implementando la empresa subcontratada debe ser obligatorio por contrato. Y sin embargo, es una práctica anecdótica (si es que existe) en la casi totalidad de las organizaciones que conozco...
En resumen, la noticia tiene pinta de ser uno de los pocos casos en los que aparentemente se ha explotado el riesgo residual una vez tratado, ese % restante para llegar al 100% de seguridad. Quiere decir esto que hay que "perdonar" el incidente? Realmente, no. Habrá que vigilar que las medidas de resolución de problemas realmente se llevan a cabo (se corrige la causa subyacente, revisando tal y como afirman toda la seguridad de la compañía), habrá que solicitar la depuración de responsabilidades ante los organismos apropiados (que ya decidirán si el castigo es o no necesario, y cuál debe ser si lo es) y sobre todo habrá que abrir una vía de actuación encaminada a resolver los problemas que pueda causar el uso de los datos robados. El incidente ya se ha producido, pero la diferencia entre una buena gestión de la seguridad y una mala se verá a la hora de verificar el cumplimiento de estos aspectos...
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario