lunes, 22 de octubre de 2007

Gestión de perfiles: la clave de la seguridad

Es muy habitual encontrar artículos que hablan sobre las bondades de unos u otros productos de seguridad. También es cada vez más habitual ver cómo esos artículos tratan de dar mayor empaque al producto en cuestión relatando lo bueno que es para mejorar un determinado aspecto sobre gestión de la seguridad. Pero lo que echo en falta es la aparición de artículos que vayan en el sentido contrario, que destaquen un determinado aspecto de la gestión de la seguridad en sí mismo sin necesidad de hablar de productos de seguridad, y que como mucho permitan enlazar con determinadas tecnologías o productos de seguridad en caso de que se quiera profundizar en la implementación tecnológica de la solución. Hoy quiero empezar con una nueva categoría que trate de dar pinceladas desde este punto de vista: Gestión práctica de la seguridad.

El primer tema que quiero tratar es la gestión de perfiles como piedra angular de la seguridad ligada al personal. Pero no gestión de perfiles desde un punto de vista técnico, sino gestión de perfiles desde el punto de vista de gestión de los recursos humanos.

El término perfiles puede ser ambiguo, así que prefiero hablar de los distintos aspectos que debemos gestionar en relación a las personas: funciones, roles, responsabilidades y privilegios. Vamos por partes.

La gestión de roles (o cargos, si se prefiere) es un aspecto presente en todas las organizaciones. Al menos, en apariencia. Todas las empresas tienen sus organigramas, mejor o peor definidos, y cada persona tiene su "título" dentro de la organización. Sin embargo, poca "gestión" suele haber en relación a estos roles: en general, los organigramas no se suelen revisar ni retocar demasiado (al menos, no como consecuencia de una revisión sistemática de los mismos).

La gestión de funciones suele ser un aspecto mucho más descuidado. En general, es poco habitual encontrarse con una definición completa de las funciones asociadas a cada rol, y si ni siquiera están escritas difícilmente podrán ser gestionadas adecuadamente. Quizás sea un rasgo cultural, tal como dejaba entrever Samuel Linares en su blog, pero el caso es que la carencia es clave desde el punto de vista de la seguridad. Cómo se pueden articular las medidas adecuadas para que cada persona preserve la integridad, confidencialidad y disponibilidad de la información que maneja en su día a día, si no está definido ese día a día? La solución de "café con leche para todos" acaba volviéndose en contra de la organización, tanto por exceso de presión normativa para unos como por reglas insuficientemente estrictas para otros. Pero no se puede ser más granular si no está establecida la vase sobre la que se deben aplicar las normas de seguridad...

La gestión de responsabilidades es el eterno caballo de batalla. Cuántas veces nos hemos encontrado con "marrones" que nadie quiere asumir? Y todo por que, unido a lo anterior, no se definen los roles encargados de ratificar determinadas decisiones, o de supervisar determinadas acciones. A río revuelto... Y ni siquiera las empresas que más se preocupan por estos temas suelen tener en cuenta dos aspectos clave: las responsabilidades delegadas lo deben estar formalmente (y "aceptadas" documentalmente), y la definición de responsabilidades se debe revisar periódicamente. Cuántas personas siguen siendo "responsables" de una tarea que realizaban en un puesto en el que ya no están?

Por último, tenemos la gestión de permisos o privilegios de acceso. En realidad no debería ser algo con entidad propia, ya que estos permisos no deberían ser más que la articulación tecnológica de los aspectos anteriores, pero desde el punto de vista técnico la tarea tiene un peso específico propio nada desdeñable. Los permisos de los usuarios, o más bien los permisos asociados al identificador lógico de cada persona, deberían ir en consonancia con las funciones y responsabilidades asociadas al rol que cada uno desempeña dentro de la organización. Y su revisión no debería ser más que la constatación de que ambos coinciden. Ahora bien: si todo lo anterior no está formalmente definido, contra qué se van a contrastar estos permisos de acceso? Difícilmente podrá nadie de Sistemas verificar si los permisos son correctos o no. ¿A quién corresponde llevar a cabo esta revisión? Evidentemente, a la empresa. Pero la pregunta es: ¿A quién, dentro de la empresa? Sencillamente, a quien tenga definida esa tarea entre sus funciones. Aunque claro, si el problema es que esa definición es la que falta...

En resumen, la revisión de funciones, roles, responsabilidades y permisos debe ser una tarea propia de la gestión de los recursos humanos, no de los departamentos técnicos. Sólo debería llegar a este área cuando exista una documentación formal, aprobada, revisada y mantenida contra la que contrastar dichos permisos. Y en caso de que no exista, la validación de privilegios de acceso debería ir escalando por el organigrama hasta llegar al máximo órgano competente... siempre que esté definido.

Alguien se preguntará que por qué no he citado ninguna herramienta de gestión de identidades, ni he hablado de metadirectorios, ni he mencionado en ningún momento un LDAP. Sencillamente, porque la gestión de perfiles es previa, y excede a cualquier tecnología, como acabo de señalar. ¿En cuántos proyectos de gestión de identidades se respeta esta premisa? ¿Cuántos proyectos de gestión del conocimiento tienen en cuenta estos aspectos? ¿Cuántos de ellos tienen un trabajo exhaustivo de definición de perfiles previo a la implantación de la herramienta de turno? Y claro, luego suele sorprender que muchas organizaciones sigan teniendo problemas de gestión de perfiles y usuarios tras la implantación de la super-herramienta de turno...

Fuente: http://secugest.blogspot.com/2007/09/gestin-de-perfiles-la-clave-de-la.html