Reflexión I - Equilibrando Continuidad y Seguridad: Workaround

Cuando se empieza desde cero es fácil que un [proyecto|producto|sistema|programa|proceso] nazca con todos los requerimientos deseados de seguridad, pero cuando adoptamos procesos/tecnología heredados (legacy) es fundamental considerar su estado en dos dimensiones: continuidad y seguridad. Esto puede visualizarse en una matriz que nos guía en la toma de decisiones.

	Pasado	Ahora	Futuro
Seguridad	Inexistente o inadecuada	Detección de Vulnerabilidad	Medida Aplicada Definitiva
Continuidad	Funciona, se usa Vulnerable	Funciona, se usa Vulnerable	Funciona, se usa Vulnerabilidad Mitigada

La clave está en preguntarnos: ¿cómo podemos implementar medidas de seguridad inmediatas que no comprometan la continuidad operativa, mientras avanzamos hacia un futuro más seguro? 

Este es el reto principal para el/los humano(s) los responsables de la seguridad. Es fácil recurrir a soluciones inmediatas como "instala un firewall" o "revoca permisos", pero estas pueden representar el futuro (deseado). En el presente ¿qué hacemos? hasta que: conseguimos/capacitamos nuestros recursos? conseguimos el presupuesto? tenemos las aprobación de otras áreas?

 

Que ocurre típicamente?  

Lo que ocurre con frecuencia es que, sin importar el tipo y tamaño de la [organización|empresa], el especialista se apresura a resolver el "problema" subestimando el impacto en los procesos asociados, las limitaciones técnicas y no involucrando a todas las áreas afectadas.

	Pasado	Ahora	Futuro
Seguridad	Inexistente o inadecuada	Detección de Vulnerabilidad Aplicación de la Corrección/Mitigación	Reversión de la Corrección/Mitigación 🙈
Continuidad	Funciona, se usa ✅ Vulnerable ❌	Ruptura de Funcionamiento 💀	Funciona, se usa ✅ Vulnerable ❌

 

Esto a menudo termina siendo desastroso a nivel de seguridad, resultando un retroceso. Se revierte los cambios propuestos volviendo al estado inicial de vulnerabilidad y ademas originando un impacto (ruptura) en la continuidad del funcionamiento de uno o mas procesos productivos. Además, se genera una percepción negativa de la seguridad, viéndose como un obstáculo en lugar de un aporte, prefiriendo la elección de un estado vulnerable, frustración del encargado de la seguridad 🙇y perdidas de dinero 💵 (dinero que usa la empresa para pagar sus sueldos y proveedores).

 

Entonces, que hacemos ?

Aunque se podría uno quedarse en brazos cruzados y terminar todo ahí, esto sería poco ético para un profesional dedicado a la seguridad. En su lugar, debemos pensar en soluciones temporales o workaround, que mejoren la seguridad del ahora sin comprometer la continuidad ... si, aunque es mas trabajo pero es lo adecuado, es la diferencia (valor agregado) que le podemos otorgar a la [empresa | organización ] desde la función de seguridad

	Pasado	Ahora	Futuro
Seguridad	Inexistente o inadecuada	Detección de Vulnerabilidad Implementación de Workaround	Medida Definitiva Aplicada ✅ Adecuación Técnica y de Procesos
Continuidad	Funciona, se usa ✅ Vulnerable❌	Funciona, se usa✅ Menos vulnerable ⚠	Funciona, se usa✅ Vulnerabilidad Mitigada ✅

Un Workaroud implica una planificación y coordinación con las diferentes áreas. Es un análisis técnico y de proceso para dar una solución momentánea mientras se trabaja en una solución definitiva, que nos permite mejorar el estado de seguridad (disminuir el riesgo) sin afectar su continuidad.

 

Esto genera un efecto positivo de la seguridad, no solo reduce los riesgos si no también mejorando la recepción de las medidas a implementar por parte de los involucrados, sintiéndose parte y que no les genera mayor complejidad/burocracia.

Pero es importante que los workaround son momentáneos/transitorios , o sea tiene fecha de fin. De no ser así los mismos se vuelven soluciones permanentes, con un resultado suboptimo de la seguridad 😖

Y si todo esto falla ?

La gestión de riesgos no se desvanece, existe y debe ser un riesgo asumido. Pero no debe ser asumido a oscuras (solo unas pocas personas técnicas lo saben) si no debe ser expuesto colocándolo arriba de la mesa de los temas a tratar (informarlo) a niveles superiores que tienen el poder de decisión sobre la [organización | empresa] siempre por escrito, ya que es nuestro aval que se actuó con la debida diligencia ... o sea, cuando se explote esa vulnerabilidad y nos vengan a buscar pidiendo explicaciones de porque no se tomo ninguna acción podemos justificarlo.