Calidad es seguridad

En ocasiones me gustaría encontrar un palíndromo que permitiera leer calidad y seguridad de izquierda a derecha y de derecha a izquierda, dándole la importancia que ambas se merecen. Olvidar la calidad cuando buscamos la seguridad es como querer hacer salto base desde el monte Everest y subir allí en chanclas y camiseta.

Digo esto porque hace poco asistí a un episodio muy interesante cuando se realizaba un simulacro de “spear phishing” en una organización. Las actividades de concienciación, o “awareness” como está de moda llamar a la concienciación, que se realizaban, resultaron ser efectivas al 100%. En otras palabras: picó todo el mundo. Todo hijo de vecino al que se quiso engañar y utilizar el engaño como vehículo para la concienciación cayó en la trampa. No hubo ninguno que no cayese. Podemos incidir en la circunstancia para hacerla resonar aun más en nuestras meninges: ¿Qué organización tiene como empleados a un conjunto de individuos que no saben diferenciar un email engañoso de uno que no lo es?

Lógicamente, los consultores del “awareness”, llenos de orgullo ante este resultado no paraban de aconsejar al gerente sobre la necesidad de impartir cursos de seguridad, realizar programas de difusión de los mecanismos más habituales para prevenir a los empleados y, por supuesto, cargar sus powerpoints contra los pobres empleados que habían sucumbido al engaño, es decir, a todos. Un todos con todas las letras mayúsculas: TODOS; un todos que no hace sino abochornar al gerente y a todo el comité de dirección. Pero ¿cómo es posible? – se repetían – y mientras tanto firmaban los pedidos que los consultores de “awareness” les ponían delante para el programa de divulgación de la ciberseguridad en la organización.

En un símil futbolístico, el resultado estaba en el marcador, el partido había finalizado y los comentaristas se apresuraban a hacer sangre de todos los implicados: TODOS. Pero bueno, ¿es que no hay nadie que no haya sido engañado?

Casualmente, un buen amigo que trabaja en labores de ciberseguridad en esta organización me había invitado unos días antes a su oficina para charlar de un par de proyectos que tenemos sobre la mesa. La casualidad quiso que yo apareciese justo tras el desastre…

Obviamente, la pregunta machacona “¿cómo es posible?” tenía la moral de mi amigo por los suelos, pero a mí no me extrañó en absoluto. Incluso le manifesté mis serias dudas de que el programa de divulgación fuera a funcionar.

En una organización que no se presta atención a la usabilidad de su sitio web, que en el portal corporativo resulte complicado llegar a un formulario básico en HTML para hacer una solicitud, que el portal de proveedores suponga una carrera de obstáculos para los proveedores debido a los fallos de diseño y que además no incorpore comunicaciones seguras por HTTPS, que las aplicaciones que sustentan los procedimientos de la organización no pasen una mínima auditoría de calidad y que se conviva con esta situación como algo normal implica que los empleados no ven nada raro en los intentos cutres de un programa de phising y caigan como moscas. Lo que me resulta complicado es aventurar que tras el programa de divulgación de ciberseguridad no vuelvan a caer.

Una vez oí decir a un vecino de un bloque que iba a poner un “cerrojofac” para evitar que le robasen en su casa. Al parecer el vecino de enfrente había instalado uno y claro: “por lo menos, hay que ponérselo a los cacos tan difícil como el vecino porque si no lo hago, vendrán a mi casa”. La calidad es como un “cerrojofac”: si el ciberdelincuente es capaz de identificar esas carencias de calidad que facilitan su ataque, estamos vendidos. En la práctica totalidad de los últimos ataques de amplia repercusión se ha atacado al usuario, y la confianza empieza por hacer sentirse seguro al usuario. En un entorno de calidad.

La seguridad se sustenta sobre la calidad y ésta debe ser una constante en los canales de comunicación de las organizaciones, no solamente por la imagen que se ofrece de cara a clientes y proveedores sino además por la eficiencia de unos procesos sustentados en la calidad y sobre todo para evitar que los ciberdelincuentes encuentren vías obvias de acceso. En este caso, un email y un formulario cutre se habían convertido en una bomba. ¿Tenemos aplicaciones con la suficiente calidad y seguridad para que nuestros empleados y clientes noten la diferencia? La implantación de un modelo de calidad y seguridad en el desarrollo no solamente nos diferenciará de la competencia en imagen y eficiencia sino que además mantendrá de manera notable la seguridad.

SOGETI ofrece todos los recursos – a través de nuestros servicios de ciberseguridad – para proteger a tu empresa de los ciberataques y conseguir así los objetivos de negocio.

 

Juan Carlos Pascual (@JKPascual)

 

Autor: qanewsblog

Sogeti es una compañía tecnológica perteneciente al Grupo Capgemini y especialista en: Testing y Calidad de Software; Soluciones Microsoft y High Tech Consulting. En Sogeti entendemos la importancia de obtener el máximo valor empresarial de sus sistemas de IT, por ello somos líderes mundiales en Testing & QA. Somos creadores de las metodologías estándar del mercado: TMap® (Test Management Approach) y TPI® (Test Process Improvement). ¡Nuestro compromiso es el Testing!

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s