Por qué los proyectos de Cumplimiento de Seguridad sí funcionan

¿Por qué un proyecto de monitorización de infraestructura es tan riesgoso y propenso a fracasar, mientras que uno de cumplimiento de seguridad y regulaciones es, la mayoría de las veces, exitoso? Después de todo, los dos son de monitorización.

Esto es desconcertante. De hecho, conozco cientos de proyectos de monitorización de infraestructura que fueron un fracaso, donde se tiraron a la basura millones de dólares/euros/pesos, con poco para mostrar a cambio. La mayor parte del software terminó en un cajón. Puede que no hayas escuchado, ya que la gente no habla mucho de sus fracasos; prefieren dar vuelta la página y mirar hacia el futuro.

Por el contrario, la mayoría de los proyectos de seguridad tienen generalmente un final feliz. Incluso los de nuestros competidores. Podés discutir sobre las cualidades de cada uno, podés discutir el retorno de la inversión, la facilidad de mantenimiento, la extensibilidad, etc. Pero no terminan como fracasos espectaculares como lo hacen sus proyectos hermanos de monitorización de operaciones de IT. Al menos no lo hacen tan seguido.

No puede ser la culpa de la diversidad de plataformas. La heterogeneidad es prácticamente la misma para ambos. De hecho, el objetivo es cubrir prácticamente los mismos servidores, middleware, aplicaciones y dispositivos de red. Y me resisto a la idea de que la gente de seguridad sean más inteligentes que el resto de los mortales. Eso bien podría ser cierto, pero tampoco es la razón.

¿Recursos más abundantes? Lo divertido es que la mayoría de los proyectos de seguridad terminan con un precio mucho, mucho más bajo, en contraparte a los proyectos de operaciones. Y obviamente, menos gente está involucrada.

Entonces, dejame elucubrar una teoría. Estos proyectos son exitosos porque no tienen que seguir 1900 páginas y 7 kilos de guías de ITIL, en particular, las sandeces relacionadas con la CMDB.

Miren, ¡nada de CMDB! En lugar de acumular miles de atributos para cada uno de los componentes involucrados y después intentar sacar algo con sentido de eso, solo para descubrir que muchos de los datos relevantes están faltando o están ahí pero obsoletos, ellos directamente van a la yugular del problema y empiezan a monitorizar enseguida.

En lugar de desviarse de su curso, desafiando la cultura interna y colocando procesos que no fueron probados, estos proyectos se enfocan en su resultado deseado: establecer los controles COBIT – o ISO- recomendados, a través de sensores y alertas en tiempo real, y crear el entorno de información y reporting adecuado para aprobar auditorías, y eso es todo. Ya está.

Ahora imaginá lo opuesto. Antes de hacer el proyecto de monitorización de seguridad, pasemos el tiempo entendiendo ITIL (elegí la versión que prefieras), investigando sobre los proveedores de CMDB, decidiendo con cuál nos deberíamos casar (y acordate, aquí no hay ley de divorcio que valga), logrando que tu gente se comprometa con los procesos y principios ITIL, pensando cómo adoptar y adaptar los procesos que puedan ser de valor, y después implementando esos procesos y tecnología de apoyo, lo que significa que vas a empezar a manejar una base de datos federada de cosas infinitas y cambiantes. Después, tratemos de descubrir cómo añadir las relaciones entre tus servicios de negocio relevantes y los procesos y miles de ítems aislados de la CMDB. Luego, inscribámonos en un curso de ITIL que nos actualice, ya que para ese momento va a haber salido una nueva versión.

Y finalmente, cuando hayas terminado de dar vueltas, y el entorno esté lo suficientemente estable (después de varias pruebas y errores y una, cada vez más creciente, factura de consultoría) y tu CMDB esté perfeccionada, podés empezar a añadirle tus controles de seguridad. Para ese momento, tal vez te hayas retirado. O, tal vez, te hayan despedido, o hayan tercerizado. Pero, ¡te vas a haber divertido mucho! O al menos eso espero.

Tal vez es solamente debido a la increíble complejidad que tienen la mayoría de las soluciones tradicionales de monitorización, pero sospecho que las CMDBs tienen mucho que ver con el hecho de que los proyectos de monitorización de seguridad sean tan exitosos. Porque no están en ellos.

¿Qué opinan ustedes?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s