Ayer encontré que estaba pasando mucho tiempo entre los post de mi blog, así que me puse a buscar el apunte de la metodología de implantación de software libre, a los 10 minutos me di cuenta que no estaba buscando y que estaba leyendo unos apuntes medios ancianos de seguridad informática (ancianos para informática, como del 2005), así que como lo encontré muy interesante me pareció una muy buena opción compartirlo con ustedes y si no les gusta da lo mismo porque es mi blog.

El concepto que se tiene de seguridad es de un estado libre de riesgos, este concepto se contrapone un poco con el de seguridad informática, ya que al contrario de lo que se piensa la seguridad informática es un proceso continuo de mitigación de riesgo, no un conjunto de medidas que se utilizan una sola vez y nos libramos de los riesgos asociados.

Este proceso continuo es descrito por la mayoría de los autores como un proceso compuesto por 4 etapas, estas son:

Evaluación:

Lo primero que hay que hacer siempre, es evaluar, encontrar alguna metodología o alguna estrategia que te permita saber en que estado se encuentra tu seguridad, que se haga ver las vulnerabilidades, no como esa  evaluaciones que se hacen para auditores externos, una que haga sudar frío. En base a esa evaluación objetiva tomar analizar, ver que significa cada vulnerabilidad encontrada, ver las prioridades para solucionar, ver si el estado es suficiente para el valor de la información resguardada, tener una visión general. Y como veremos que será transversal para todos los pasos, comunicar, hacer conciencia sobre el estado de las cosas, y comunicarlo en un lenguaje que sea comprensible para todo el mundo, no solo un mamotreto técnico que solo entienden los iniciados en las artes oscuras de la informática, si no un manual real y comprensible que se entienda en términos y lenguaje del negocio.

Diseñar:

Con la evaluación anterior, diseñar una solución que ataque y mitigue los puntos encontrados anteriormente, siendo coherente con los criterios de prioridad y con los recursos que se tienen para poder implementar la solución, establecer métricas que indiquen el éxito o fracaso de la implementación, y establecer los pasos a seguir luego de la implementación, como que soporte va a tener, como se administra, quien controla, etc., con todo este plan realizado con tareas distribuidas y plazos acordados, nuevamente comunicar, otra vez en términos del negocio y con las métricas de éxito claras para no causar problemas con las espectativas de la implementación.

Implementar:

Bueno, eso… ponerse el overol tomar la pala y trabajar… o tomar el látigo y apretar la carta gantt…. dependiendo del puesto y rol dentro de la implementación… pero implementar, documentar los problemas que se presentan, aumentar la documentación con la resolución de estos, medir la implementación en base a las métricas ya acordadas, probar la implementación, hacer pruebas de carga bla bla bla… trabajar trabajar trabajar… y después de eso comunicar, establecer el nivel de éxito, comparar con las métricas, evaluar el proceso de implementación en si mismo también.

Administrar y soportar:

Bueno como dijimos desde un principio, no es una implementación de una sola vez, es una mejora continua de los procesos, por lo que hay que medir constantemente, hacer mantención y soporte cuando corresponde, medir con respecto a métricas de soporte y contra las métricas de implementación que se puedan cotejar, y comunicar constantemente, indicar el estado en el que se encuentra y documentar las nuevas debilidades encontradas.

Lo más importante:

Luego de terminado el ciclo completo … empezar nuevamente… si, es un ciclo de mejora continua, así que eso, se mejora continuamente.

Ciclo de vida de la Implementación de seguridad.

Eso espero les guste el post.