Hace algunos días leí un artículo que me llamó la atención. Hablaba sobre la conveniencia de utilizar herramientas que automaticen la revisión de cumplimiento de las políticas de seguridad de la compañía. El artículo se enfoca principalmente en las ventajas que aportan las herramientas cuando hay que verificar las políticas contra distintas normas. Sin embargo, creo que hay otros motivos que deben tenerse en cuenta, y que muchas veces suelen ser más determinantes a la hora de tomar estas decisiones.
La primera, y desde mi punto de vista, la más importante en la práctica, es la capacidad que aporta una herramienta a la hora de mantener actualizadas las políticas de la organización. Un simple checklist automatizado tiene muchas más posibilidades de ser rellenado que el mismo checklist en formato tabla. Inexplicablemente, algo dinámico motiva más a la hora de utilizarlo que el mismo contenido en versión estática. Y mantener actualizado el cumplimiento normativo quizás pueda ser tedioso, pero es imprescindible...
Otro de los motivos para optar por una herramienta son las ventajas que ofrece tener un lugar centralizado y multi-usuario para ubicar toda la información relativa a dicho cumplimiento. Una herramienta puede ser accesible por varias personas, con varios perfiles, para distintos fines... pero todos accediendo al mismo repositorio. Desde el responsable de seguridad al auditor, pasando por los directores o los técnicos. Porque todo el que tenga implicaciones en las normativas chequeadas tendrá que conocerlas y actualizarlas...
Y el último de los motivos que quiero destacar, para no extenderme, es la capacidad de registro de cambios que ofrecen este tipo de herramientas. Es uno de los aspectos más duros de cumplir en la práctica, y no sólo a nivel de cambios en la documentación, sino también a la hora de llevar un registro de las distintas formas en las que se cumplen los controles. Nuevos procedimientos, distintas formas de implementar los mismos controles en distintos entornos... Muchas particularidades, que de forma manual sería difícil mantener al día.
En definitiva, las herramientas suelen existir por una razón muy sencilla: facilitan las cosas. Y cuando los fabricantes les dan un coste económico, y hay empresas dispuestas a comprarlas, tiene que ser porque realmente son útiles, no? De todos modos, no olvidemos algo: las herramientas ayudan, pero lo importante es saber hacer las cosas, y entender la lógica que subyace. No debemos cometer el error de volvernos dependientes de ellas.
15 marzo 2007
Herramientas de apoyo a las politicas de seguridad
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario