Documentos como herramienta de seguridad...

0 comentarios
Verba volant scripta manent, o dicho de otra forma “La palabra vuela, lo escrito permanece”. Con esta frase tan chula en latín, posiblemente nos ahorraremos muchos sustos y mucho dinero a la hora de administrar nuestra red, y máxime en entornos con varios administradores o con una rotación de personal importante.
Un número importande de los problemas que he detectado haciendo auditorías de sistemas, se derivan de la falta de documentación en cuanto a estos y sus aplicaciones se refiere. En otros casos, no se si más o menos peligrosos, la documentación está obsoleta y/o no se ajusta a la realidad.
No documentar un proceso, puede provocar incongruencias en la seguridad. El principal riesgo, es no tener la capacidad de conocer como están interactuando los diferentes elementos, lo que puede incrementar las situaciones en las que se dé por hecho que un antivirus está cubriendo el correo, que un sistema de DLP nos proteja de la fuga de datos a través de redes sociales o que el firewall sea el que impida determinadas conexiones.
parking_lot_security_failLa barrera impedirá el paso de los coches, pero solo en su radio de acción. No impide que pasen por otro sitio.

La falta de documentación actualizada en entornos informáticos, es un problema común hoy en día. A pesar de contar con sistemas documentales muy buenos e incluso Open Source, como KnowledgeTree, muchas empresas dependel del know how de sus administradores para el desarrollo de su actividad. La mayoría, no tiene en cuenta que en cuanto se jubile “Paco el del MainFrame” o se vaya a otro sitio “Julián el del antivirus”, deberán asumir un coste de formación y aprendizaje de sus repuestos. No ya en la formación en esos productos, sino en ver como está todo montado y en conocer las “ñapas” que puedan haber dejado sus antecesores.
Como mínimo, un documento debería constar de las siguientes secciones:
  • Fecha y versión: Datar y versionar un documento que está “vivo”, es muy importante.
  • Identificación: Identificación física y lógica del sistema.
  • Objetivos: Detalle de los objetivos a cumplir por dicho elemento. Es conveniente reflejar la configuración al detalle de una forma que luego podamos actualizarla con los últimos cambios.
  • Instalación: Detalle técnico de la instalación. Se pueden incluir aspectos relativos al entorno sobre el que se instala (por ejemplo, si se necesita algún tipo de preparación previa del servidor)
  • Tareas de mantenimiento: Detalle técnico de los procesos necesarios para mantener actualizado el sistema.
  • Licencia: Si es necesario, incluir información relativa a la licencia (numero de serie, caducidad, restricciones, etc)
  • Información de soporte: Procedimiento de contacto con proveedores, tipo de soporte, horario de atención, persona de contacto, etc.
  • Memoria de incidentes e intervenciones: Es muy util mantener una pequeña relación con los incidentes detectados en el servicio, así como un listado de las intervenciones hechas en el servidor.
  • Referencias en el cuerpo normativo: En el caso de que la instalación del servicio sea por requisitos legales o de normativas, es importante reseñar esto, así como hacer referencia a los documentos de políticas en los que se recoge la obligatoriedad de su existencia.
Por supuesto, lo más práctico es elaborar esta documentación con la ayuda de un gestor documental como los que hacía referencia anteriormente, aunque lo más común es utilizar este gestor como índice, haciendo referencia a los documentos y su contenido. De cualquiera de las maneras, mientras tengamos la capacidad y el propósito de mantener nuestra documentación actualizada y con la seguridad de que lo que recoja sea fiel reflejo de lo que tenemos, cualquier sistema es válido.

Así está Internet en este momento - 233grados.com

0 comentarios
Así está Internet en este momento - 233grados.com