Cuando yo era pequeño mi padre me enseñó las reglas del ajedrez y, después de mi primera partida, yo dije “ya sé jugar al ajedrez” y mi padre me miró y me dijo “tú aún no sabes jugar al ajedrez, tú sólo sabes mover las piezas“.
Algo similar pasa a menudo en el mundo de las TI y afecta considerablemente a la seguridad de la información.
Cada producto que utilizamos: dispositivos de red, equipos, sistemas operativos, herramientas, software base, aplicaciones, etc. requiere de un conocimiento que supera el simple montaje o uso de la interfaz de administración.
Por ejemplo, para gestionar un cortafuegos es necesario conocer cómo funciona la interfaz, qué conceptos se manejan (objetos, reglas, NAT, etc.) pero también es necesario conocer cómo usarlo, qué configurar, disponer de un criterio de configuración y de monitorización.
Lamentablemente, muchos cursos y manuales están enfocados a contar las opciones de los menús de la interfaz o las variables del fichero de configuración pero no enfocadas a definir y enseñar los criterios que deben seguirse para poner el producto en producción ni la estrategia de operación del mismo.
De hecho, mucha gente relaciona el saber de un producto o tecnología en conseguir instalarlo y echarlo a andar o en saberse determinadas opciones de los menús, cuando realmente no saben como instalarlo bien o como configurarlo adecuadamente. Y lo contrario, viene a ser cierto a veces también. El que sabe configurar Cisco, Juniper y CheckPoint pero te dice que sólo esos, que no otro producto de cortafuegos.
Bueno, no sé si me estoy explicando con esto pero, en esencia, lo que quiero decir es que hay una parte de estrategia en todos los productos y que cada uno requiere un estudio de la situación y de para qué quieres usarlo y requiere lectura de documentación, libros, presentaciones, etc. para comprender cuándo usarlo y cómo. De hecho, la mayor parte de las veces, la estrategia es independiente de los productos, por lo que si la conoces bien, puedes utilizar cualquiera con una pequeña curva de aprendizaje, ya que todos te deben permitir implementarla de una forma u otra.
El ejemplo del cortafuegos es bueno porque, pese a ser teóricamente sencillo, luego es difícil ver uno bien gestionado y configurado. Pero hay muchos más. De hecho, como decía arriba, cualquier producto que pongas en producción tiene un conjunto de consideraciones que hay que tomar y, normalmente, no ‘funciona sólo’ como te dicen los vendedores.
Y en algunos casos es hasta comprensible porque es difícil encontrar donde te cuenten la mejor forma de actuar, por ejemplo, gestión de logs, pero otros no tienen perdón.
A veces, cada uno tiene que encontrar el modo que le funciona para que lo que hace sea perdurable, sea mantenible, sea legible y sea seguro. Y eso requiere cierto esfuerzo que luego se ve recompensado.
Lo que no debemos hacer es dejar que esto pase, cosas medio configuradas, nada de estrategia, no conocer cómo monitorizar, etc. porque al final, tarde o temprano, ya sea por seguridad o por operativa, se acaba pagando el pato.
¿Y qué pasa? Pues pasa que no se atreve nadie a actualizar nada, ni a migrar nada, ni a tocar nada y, cuando falla, nadie saber por qué y que cualquier cambio se convierte en un exorcismo.
En fin, creo que ha quedado más o menos claro lo que quería decir con eso, os dejo para que penséis si lo que hacéis es jugar al ajedrez o sólo mover las piezas…
