25 de diciembre de 2008

IT Governance

Por una vez y sin que sirva de precedente (que luego os acostumbráis), voy a hacer una entrada en un día tan especial como hoy. Por que es quizás ahora, cuando has pasado buenos momentos con la familia, amigos, alejado del caos de la ciudad, cuando puedes repasar con calma algunos aspectos de tu vida (trabajo incluido) y reflexionar.

Me encontraba estos días repasando unas Normativas que tenía que actualizar, junto con unos Procedimientos a redactar de 0 y pensaba… desde luego los “Seguratas” tenemos nuestra propia pirámide de Maslow, Políticas, Normativas, Procedimientos, Controles, etc. etc. y lo que está claro es que la Ley de Murphy se cumple en ella.

Una política “mal redactada”, una Normativa ambigua, un procedimiento que no contempla responsabilidades en determinadas situaciones y… empiezan los problemas. ¿Qué significa que los usuarios se autenticarán mediante usuario y contraseña?, ¿Cómo serán los identificadores de esos usuarios?, ¿Qué consideraremos una contraseña robusta?, Y si tengo un usuario máquina, ¿también tiene que autenticarse?. Como imaginareis y seguramente habréis vivido en vuestras carnes (los administradores de sistemas, seguro), no tener claras estas cosas tan sencillas pueden provocar conversaciones de besugo y jaquecas prolongadas, amén de riesgos mal cubiertos, o incorrectamente asumidos.

¡Claro que no es la parte más divertida de la Seguridad Informática! Te enfrascas a redactar con tu sublime prosa documentación y piensas en hacer “Hacking documental” a ti mismo previendo casos no cubiertos, interpretaciones erroneas etc. Pero está claro que es el comienzo de todo lo demás, es vital Gobernar la Información, definir qué vamos a hacer con ella, es sin duda uno de nuestros activos más importantes y… por desgracia, si no lo hacemos bien no se cumplirá la Ley de Gary (esta me la he inventado yo), donde todo será un camino de rosas y lo que puede salir bien,,, ¡saldrá bien!, sino que vendrá el tito Murphy a darnos donde más nos duele. 

COBIT es sin duda el manual de referencia si queremos coger el timón del barco de la información, va por su versión 4.1 y es descargable directamente desde la página de Isaca, vieja compañera de aquellos que estéis certificados como CISA o CISM.

Creo que me voy por un polvorón… mientras tanto, ¡Gobernad!, el 2009 se avecina y… tiene buena pinta, ¿o no? ;-)

Salu2

0 comentarios: