Como de costumbre, un artículo sirvió para conectar varios pedazos de información en los que estuve trabajando durante las pasadas semanas. Comencemos con el más reciente. Leyendo un artículo, en lo que la seguridad concierne en el liderazgo del sistema de salud, fue lo que más me hizo pensar. Particularmente esta cita del artículo: “La meta en el sistema de salud es generalmente tratar a esos pacientes, no la seguridad y privacidad. Usted no tiene el mismo foco en seguridad y sistema de salud que ve el sector financiero.” Sí, eso suena correcto. Tiene sentido en cuanto a lo que he visto y experimentado. Estoy seguro que todos hemos visto que hay carteles en hospitales y otros centros de atención que dicen “No Fumar”, “Oxígeno en Uso” o algo parecido. Estas reglas tienen sentido para todos nosotros. Entendemos. El problema es, que no hay una regla sobre hacking en hospitales. Nuestro modelo de precios no nos permite un amplio equipo de seguridad, así que “por favor no nos hackeen”, simplemente no carga con el peso necesario como “no fume o nos hará estallar a todos.”La salud de los pacientes es su foco primario, agradecemos profundamente, y es que los datos son simplemente una manera de describir la condición y progreso para que puedas alcanzar la meta de buen desarrollo y salud de su cliente. Esencialmente, es un modelo que no ha estado envuelto en la revolución de datos de la era digital. Esto me lleva a mi siguiente punto… autorizaciones de seguridad del gobierno.
Pensamiento Antiguo Se Fusiona Con Las Nuevas Tecnologías
Escuché una historia en NPR, en la que, quienquiera que haya estado parafraseando, dijo que las autorizaciones de seguridad del gobierno no habían evolucionado desde los años 50. El proceso dice que un investigador puede ir hasta el vecindario del aplicante e interrogar a vecinos y ver si alguno de éstos ha estado entrando o saliendo de la casa del aplicante que pueda verse “comunista”. Particularmente, estoy de acuerdo con el punto final, siendo que este proceso realmente necesita ser actualizado e infelizmente, no puedo ni siquiera recordar el nombre de mis vecinos.
Entonces la verdadera pregunta sería, ¿cuántas industrias están desactualizadas y trabajando bajo esquemas de pensamiento pasado? Esa forma de pensar que no toma en cuenta la naturaleza interconectada de nuestra sociedad de la información y el valor monetario prima de casi todos los bits y bytes de información. Cuando era subcontratado de la Marina, tuvimos un Almirante de tour en nuestras instalaciones y nos decía lo importante que eran nuestras tareas de seguridad. Para poner de relieve este punto, nos comentó de su propia realización personal de cómo las cosas habían cambiado, al momento que le preguntó al timonel en un portaviones cómo se conecta la rueda al timón. El marinero describe la forma de trabajo general de las redes del sistema y el Almirante de inmediato se dio cuenta de que la cabeza estaba de alguna lejana manera conectada a internet. Inmediatamente se convirtió en un creyente en ese instante.
El Sistema de Salud y muchas otras industrias cumplen las normas de seguridad porque están forzadas a hacerlo. No es parte de su modelo de negocios proteger los datos. Los datos están simplemente demasiado alejados de los ingresos directos. Podrías diferir que si mi identidad llega a ser robada y tengo que declararme en bancarrota y no puedo pagar mi cuenta del hospital, ese dinero está ciertamente involucrado. Claro, nunca ganarás usando ese argumento en una batalla por el presupuesto sobre comprar ese nuevo aparato para radiología o un sistema de autenticación de dos factores para uno o dos locos en TI que se quejan de la seguridad.
La Seguridad No Genera Dinero… Excepto En La Banca
Una de las pocas industrias que realmente entiende lo que la seguridad de datos es el sector financiero, debido a la relación específica de los datos que equivale directamente al dinero. Esa información en su base de datos que dice que tengo 50$ en mi cuenta… sí, eso ES dinero, no mucho en mi caso, pero dinero sobretodo. Si mañana, por alguna extraña circunstancia, fuese a decir que tengo 5000$ en mi cuenta, ellos lo creerían si no hubiese ningún comprobante o balance que diga lo contrario. Los datos, son dinero.
Hay un sinfín de industrias que trabajan bajo el modelo mínimo. Esto básicamente significa que haré lo mínimo necesario para seguir con las reglas. Hacer, ya sea, más de lo mínimo o menos de lo mínimo es visto igualmente malo. Ahora, para aquellos que no están familiarizados con este pensamiento y trabajan en un lugar que hace lo que está bien, déjenme explicarles esto, porque es algo fácil de omitir. En un lugar donde se trabaja con el modelo mínimo, las personas que están muy por delante de la mayoría, son percibidos como igualmente vulnerables de atraer el escrutinio regulatorio como aquellos que están por debajo de lo mínimo. Como resultado, todos en la industria intentan hacer lo que “los demás” están haciendo, sin importar si tiene sentido desde el punto de vista de seguridad. Para su forma de pensar, hacer algo diferente y muy lejano a lo que todos hacen significa que el regulador seguramente le echará un vistazo y su estrategia podría ser considerada errónea. La alternativa de que su estrategia esté bien y sobrepase las expectativas está muy lejano de su pensar que es inmediatamente rechazada y puesta como una posibilidad remota no digna de consideración. Los datos son dinero aquí también, solo que en una forma que no es fácil de detectar por los negocios.
Los Estándares De Seguridad Nunca Caen, Sólo Suben
El problema con el modelo mínimo es que cuando los “chicos malos” emparejan su juego, y siempre lo hacen, quedas fuera de la zona segura y debes hacer algo para alcanzarlos. Mientras estás fuera de la zona segura, los “chicos malos” se pueden aprovechar de ti sin impunidad mientras sigues buscando qué hacer. Cualquier soldado te puede decir que tratar de hacer un nuevo plan mientras estás bajo fuego no es ningún pan comido. Recuerda que siempre es bueno tener un plan de contingencia antes de comenzar y usarlo cuando sea necesario. Mejor aún si estás de vuelta en base y puedes poner en práctica este nuevo plan en la patrulla de mañana.
Estamos tan enfocados en el siguiente, mejor, nuevo artículo que nunca nos paramos a pensar acerca de la sabiduría y responsabilidad de tener y usar ese nuevo artículo. Tablets en el sistema de salud… que buena forma de poner la riqueza de conocimientos en la punta de los dedos de nuestros profesionales en salud. Los dispositivos móviles están apareciendo en todas partes y muy pocos modelos de empresas tienen el entendimiento básico necesario para proteger la información que los nuevos juguetes están habilitando. Ponerse de pie en los hombros de un gigante… Bah, es un viejo concepto y me siento viejo por decirlo.
Supongo que mi punto es, como profesional en seguridad, realmente necesitas estar de pie cuando operas en cualquier empresa que simplemente no ve el enlace directo entre dinero y datos. Ser forzado a cumplir con las regulaciones sin tener un modelo de empresa que te apoye, que realmente valore las razones de conformidad no es una receta para el éxito en seguridad. No desperdiciar, no querer… los “chicos malos” ciertamente no lo hacen. Sólo la movilidad y poder de las tablets las hacen incluso más apreciadas por los “chicos malos”. Esa información de privacidad sólo valdrá unos cuantos centavos en los oscuros rincones de internet, pero multiplicado por un par de cientos de millones de veces se suma. Creo que puede haber la trama de una película aquí… nah, estoy seguro que se ha hecho antes.
Traducido del texto original publicado por Josh Beckett titulado: When old processes meet new technology
Cómo EnCase Puede Complementar Sistemas de Prevención de Pérdida de Datos (DLP)
No hay comentarios :
Publicar un comentario