Los Pilares de la Seguridad

Hace ya unos años que se produjo el boom de ventas de novelas históricas y ambientadas en el medievo. Quizás el máximo exponente fueron los famosos “Pilares de la Tierra” de Ken Follet que, aunque se publicó en 1989, creo que no ha habido ninguna novela posterior de este género que la haya podido destronar. De hecho recientemente también ha servido para poner “de moda” las series históricas de TV, con la adaptación producida por Ridley Scott. En 2007 la novela de Follet tuvo su continuación con “Un mundo sin fin”, novela que continúa la trama con los descendientes de los protagonistas de los Pilares.

Y ustedes dirán: ¿y este hombre qué nos está contando? Que esto es un blog de seguridad…

Pues les voy a sorprender. Esto es como la teoría de los grados de separación, que dice que entre dos personas que no se conocen en el mundo hay una cadena de conocidos de no más de cinco personas, y por tanto seis saltos.

Voy a ello. Para escribir la segunda parte de los Pilares (por cierto, felicidades a las Pilares que lean este blog por su reciente santo), Ken Follet se inspiró en las obras de restauración de la Catedral de Santa María de Vitoria-Gasteiz, ciudad que me permito recomendarles, y que tuve el placer de disfrutar en mis primeros años en esto de la seguridad (allá por el año 2000), colaborando en un proyecto para la Diputación Foral de Álava. De hecho, la ciudad, en la que se hizo la presentación mundial del libro, ha honrado al escritor británico con una estatua de bronce en su honor.

Esta catedral ha sufrido en los últimos años un proceso de restauración a mi juicio modélico. Sirva como muestra el hecho de que su lema ha sido “abierto por obras”, con el objetivo de que la ciudad pudiese conocer de primera mano el detalle y el avance de los trabajos, en vez de tener la catedral cerrada durante los seis años que han durado los trabajos. El Plan Director de Restauración —¿a que esto ya empieza a “sonar” a seguridad?— fue galardonado con el Premio Europa Nostra 2000 por lo excepcional de sus trabajos.

Pues bien, este Plan Director de Restauración ha contemplado entre sus iniciativas la instalación de un novedoso conjunto de sensores que, en tiempo real, están midiendo desde las condiciones de temperatura y humedad de las diferentes partes de su estructura, hasta el grado de inclinación de sus columnas, por ejemplo. En otras palabras, un sistema de monitorización en tiempo real que mide los indicadores de deterioro de la estructura de esta catedral milenaria, que ha estado afectada por problemas de estabilidad casi desde su construcción.

No sé cuántos saltos hemos dado para conectar el best-seller de novela histórica con nuestro blog de seguridad, pero creo que nos hemos acoplado a la teoría de los grados de separación. ¿A que no se lo esperaban? Ahora en serio, la idea que quería exponerles es la siguiente: ¿qué sentido tienen en nuestros días los análisis de riesgos que no sean en tiempo real? Pues muy poco, y no por nada este tema ha salido a la conversación, en el plazo de menos de 10 días, en dos reuniones de trabajo relacionadas con el Esquema Nacional de Seguridad (ENS) que hemos mantenido con sendas administraciones públicas (una estatal y otra autonómica).

Un análisis de riesgos “tradicional” y por tanto estático nos puede servir para diagnosticar una situación de partida, inicial. Pero creo que estarán de acuerdo conmigo en que si algo caracteriza a las organizaciones actuales es su predisposición al cambio. Y al cambio en todas sus facetas: en su estructura organizativa, en sus sistemas de información, en sus empleados, etc. Si el dinamismo debe ser una característica de cualquier organización que quiera adaptarse a su sector de negocio para ser competitiva, no puede abordar la gestión de los riesgos a los que están expuestos sus procesos de negocio desde un planteamiento estático.

Estamos acostumbrados a la elaboración de costosos planes de continuidad de negocio (o incluso planes de contingencia TIC), tanto en lo económico como en lo temporal, que a veces a los pocos meses de su publicación ya se han quedado desfasados. Para todos creo que será evidente que si la organización decide externalizar un determinado servicio, si se virtualizan los servidores que dan soporte a un proceso, o si se decide cambiar de ERP, estamos ante hechos de una trascendencia tal que obligan a volver a realizar el análisis de riesgos.

Pero a lo mejor no resulta tan evidente que la detección de una incidencia de seguridad que afecte por ejemplo a la disponibilidad de un servidor que soporta un determinado proceso puede implicar que haya que “reanalizar” los riesgos en el momento en que se producen. Si de repente una organización recibe un aluvión de solicitudes de ejercicio de derecho de acceso a sus datos personales, es un hecho irrefutable que el riesgo de que esa organización pueda ser sancionada por la AEPD por no poder responder en tiempo y forma a todas las peticiones se ha disparado. Y si esa posible amenaza no se detecta y no se gestiona como corresponde podemos encontrarnos ante una situación grave.

Volviendo a nuestro ejemplo, a los técnicos que van a encargarse de que el “nivel de seguridad” de la catedral de Santa María de Vitoria sea el adecuado y siga siéndolo en el tiempo, una vez desarrollado el Plan Director de Restauración, de nada les va a servir enterarse por el informe anual de seguimiento de que el grado de inclinación de un arbotante de la catedral ha aumentado en dos grados. Ellos querrán enterarse cuando se produce el hecho, en el momento en que se detecte que la inclinación está variando, porque se les puede caer media estructura de la catedral a tierra.

¿A que las analogías con un Plan Director de Seguridad, con un Sistema de Gestión de Seguridad, y con un análisis de riesgos en tiempo real son evidentes? ¿Cómo lo ven? A lo mejor a ustedes no les he sorprendido tanto, pero seguro que a Jack Builder sí le habría dejado con la boca abierta…

Comments

  1. Excelente post, sin duda. No me esperaba que tuviera este acercamiento tan diferente. Aprovecho para hacerte una pregunta: ¿Que le diría a alguien que tiene miedo a abordar el ENS porque no ve clara la normativa? Y en cuanto a la aproximación a la gestión en tiempo real, ¿crees que las empreass de auditoría clásicas serán capaces de adaptarse? Un saludo. Pedro.

  2. Pues Pedro, la vea clara o no, está obligado a cumplirlo, y al menos para Enero de 2011 deberá de disponer de un plan de adecuación al ENS. Sí es cierto, por reuniones de trabajo que hemos tenido con AAPP, que existe algo de confusión por la gran interacción que existe entre los referenciales del ENS, la norma ISO 27002 e incluso el RDLOPD. Aunque un planteamiento conjunto puede ser una opción, no hay que perder de vista que el ENS y el RDLOPD son de obligado cumplimiento, no así la norma ISO, que no deja de ser una guía de buenas prácticas.

    Con respecto a la adaptación de las auditoras, mi opinión es que es inevitable. El mundo de la seguridad está evolucionando mucho y muy rápido. Si no lo has hecho te recomiendo un post que escribió hace unos días José Rosell (https://www.securityartwork.es/2010/10/08/cloud-computing-el-analisis-de-riesgos-y-los-%E2%80%9Cservicios-dinamicos%E2%80%9D-de-seguridad/ ).

    Un saludo y gracias por tu comentario!