Seguridad o Gestión de la Seguridad?

Con la creciente popularidad de las normas ISO de la familia 27000 y el auge que está cobrando la gestión de la seguridad de la información en muchos ámbitos, parece como si se hubiera desatado una obsesión general por gestionar la seguridad. El problema es que en muchos casos se está empezando a confundir la gestión con la seguridad, y en algunos incluso olvidándose esta última.

La gestión de la seguridad es, en principio, el nivel más avanzado en relación a la seguridad. Pero para llegar a este nivel es obviamente necesario haber superado los anteriores. Para gestionar la seguridad antes debemos tener seguridad. Parece una obviedad, pero la realidad es que no siempre se tiene en cuenta. No debemos tener en cuenta que el objetivo no es la gestión, sino la seguridad, y que la gestión es sencillamente una vía para mantener y mejorar sistemáticamente la seguridad. Es la vía más avanzada, y para llegar a ella tendremos que haber superado las anteriores. Si no, el batacazo será estrepitoso, y tarde o temprano llegará.

Vamos a por un ejemplo, que probablemente sea la forma más sencilla de verlo: Un antivirus. Qué pretendemos conseguir con él? Estar libres de virus, para no sufrir los efectos dañinos que pueden ocasionar si nos infectamos. Querríamos detectar y eliminar todos los virus que lleguen a nuestro PC. Dónde está la seguridad y dónde la gestión de la seguridad en relación a este antivirus?

Imaginemos una empresa que tiene un parque de PCs en el que todos los equipos tienen su antivirus totalmente actualizado, con un motor de detección que combina heurística avanzada y nuevas firmas que se publican diariamente, que detecta todo tipo de malware, que escanea automáticamente todo el parque de PCs, ... Tenemos el mejor antivirus posible, y con la mejor instalación y configuración posible. Eso es seguridad. Independientemente de que la configuración esté o no documentada, de que se revise periódicamente o de que monitoricemos la tasa de actualización de los antivirus.

Ahora pensemos en otra empresa con un antivirus del montón, sin heurística, de un fabricante que publica nuevas firmas de vez en cuando, que sólo está instalado en los PCs más nuevos de la empresa, ... Tenemos un antivirus mediocre con una instalación y configuración mediocre. Tenemos seguridad? No mucha. Sin embargo, esta empresa tiene totalmente documentada su política de antivirus, la dirección la revisa anualmente, tiene indicadores que le permiten conocer el % de ordenadores con el antivirus actualizado, mide como incidentes de seguridad todas las infecciones detectadas y no eliminadas, ... Tiene una muy buena gestión de la seguridad en relación al antivirus. Se ve la diferencia?

Evidentemente, he simplificado mucho las cosas. En el primer caso la seguridad de la empresa en relación a los virus es muy buena... en ese momento. Si no hay una gestión asociada, ese nivel de seguridad no se podrá mantener. Habrá que hacer un seguimiento de la situación si queremos seguir garantizando ese nivel de seguridad. Y en el segundo caso, si la gestión de la seguridad es muy buena, habrá seguimiento del estado, revisiones periódicas y auditorías que nos digan que nuestra protección frente a virus no es muy buena, y se establecerán medidas correctoras para solucionar estas carencias, de forma que a medio plazo probablemente se podría alcanzar una situación aceptable. Las cosas nunca son blancas o negras, y en este caso tampoco iba a ser menos. Sin embargo, creo que el ejemplo ha servido para aclarar las diferencias.

Esta dicotomía no tiene por qué ser grave, ya que es muy habitual que ambas tendencias, mejor o peor llevadas, tiendan a converger. Esa es su evolución natural. El problema puede surgir cuando se introducen factores que pueden hacer que cambie el rumbo de esa convergencia natural. Y uno de esos factores puede ser la certificación de sistemas de gestión. Si la obtención de un certificado que avala un sistema de gestión se considera algo positivo, puede que la empresa centre sus esfuerzos en la gestión, y tienda a olvidarse de la seguridad. Incluso puede llegar a romper esa convergencia natural, y primar la gestión sobre la seguridad. No es algo nuevo, esto ya ha ocurrido en muchos casos en relación a los sistemas de gestión de la calidad (recordais?). Y creo que este es el momento de empezar a recordar estos peligros, antes de que la seguridad corra el peligro de convertirse en la secuela de la "decepción de la calidad". Todavía estamos a tiempo de paranos a pensar, y una reflexión a tiempo siempre sirve de ayuda...