Seguridad informática: no más oropel, por favor
Soy un gran admirador del podcast Pessimists Archive. Jason Feifer hace un relato conmovedor y nada polvoriento de la historia de la resistencia al cambio.
Cosas que hoy se clasifican como conservadoras y establecidas eran revolucionarias y a menudo "del demonio" cuando se introdujeron. El vals, por ejemplo, era tan escandaloso a principios del siglo XIX como el rock and roll lo fue más tarde. La gente incluso se batía en duelo por la honorabilidad del vals. ¿No puede ser?
Puedo decir si algo se toma en serio si alguien está dispuesto a pagar dinero por ello. Y la seguridad para SAP se toma ahora en serio. Hoy veo que las empresas están dispuestas a cambiar algo.
Sin embargo, hay que cambiar lo menos posible lo establecido. Entonces se solicitan nuevas autorizaciones SAP, que deben estar libres de conflictos y ajustarse al concepto existente. Pero el concepto para las operaciones suele ser hacer el trabajo en masa manualmente con fuerza humana.
Monótono, propenso a errores, aburrido y completamente reemplazable. Los administradores de decenas de empresas que he conocido personalmente siguen trabajando en el tema de la seguridad informática como lo hacían antes de la introducción del iPhone. Eso fue en 2007.
Mientras muchas empresas trabajan ahora en cómo los empleados y los clientes pueden acceder al sistema SAP a través de las nuevas y bonitas interfaces Fiori, en la sala de máquinas reina un ambiente sombrío y siniestro. No hay orquestación ni control, se echa carbón al fuego a paladas.
Mantener cientos de roles sincronizados en servidores front-end y back-end sin invertir en conceptos y herramientas de gestión de roles e identidades es un concepto anticuado.
Operar un sistema SAP sin haber establecido una supervisión de la seguridad es un concepto anticuado. No invertir en la formación sistemática de los empleados en materia de seguridad SAP es -lo ha adivinado- un concepto anticuado.
Y los nuevos empleados están cada vez menos dispuestos a aceptarlo. Por qué iban a hacerlo, tienen elección: hay suficientes empresarios que buscan urgentemente personal cualificado y motivado.
¿Por qué debería entonces un joven empleado dedicarse a trabajos aburridos con conceptos antiguos? ¿Mientras que en otras empresas puede desarrollar conceptos y configurar herramientas que hagan el trabajo repetitivo por él?
En el Estudio sobre las tecnologías de la información 2017-2018 se afirma lo siguiente:
"El talento informático quiere innovar y convertirse en experto en su campo".
Así que nos encontramos ante la disparatada situación de que el presupuesto está ahí, pero el éxito no se materializará. Porque un concepto de seguridad sostenible sigue teniendo que ser dirigido por personal experto. Y no están de humor para "antes había más oropel".
No es que nadie haya hecho nada malo. Pero si los clientes actuales de SAP quieren seguir existiendo con seguridad en la realidad actual y no acabar en los titulares como difusores de datos o en bancarrota cuando se trata de secretos de empresa como las recetas, también hay que reclutar a empleados que ayuden. Y las empresas también tienen que aceptar que hay algo más que cambiar que "limpiar de humedad el sistema SAP" una sola vez.
En la historia de todas las innovaciones, siempre ha habido una o varias personas que no se han dejado disuadir de la idea de lo nuevo. Aunque todos refunfuñaran, refunfuñaran o refunfuñaran. En todas las empresas debe existir esa persona. La que explica pacientemente las ventajas de lo nuevo sin desairar a los que aún se empeñan en lo viejo.
Al fin y al cabo, es como bailar el vals: los jóvenes no se dejarán disuadir porque comprenden el nuevo mundo y se toman la seguridad informática tan en serio como debe ser hoy en día.
No jugando manualmente con los roles o creando usuarios. En lugar de eso, desarrollas un concepto y utilizas herramientas establecidas. Así también tendrás tiempo para descubrir nuevos riesgos de seguridad y planificar contramedidas.
DE
EN
ES
