En toda auditoría de seguridad siempre se da alguna que otra anécdota o situación digna de mención. Además de rememorar buenos momentos, también aprovecharé para plantear algunas reflexiones acerca de estas experiencias. Espero que resulten de vuestro agrado.
Recuerdo una ocasión en que estábamos evaluando las medidas de control de acceso físico a uno de los CPD's de una organización. Aparentemente estaba todo muy controlado, para no aburrir obviaremos otros detalles como el tipo de cristal, características puerta, suministro eléctrico, sistemas de climatización, detectores, etc. En resumen, lo más destacable era que la puerta de acceso al CPD únicamente podía abrirse desde el interior. Este aspecto obligaba a la permanente presencia de personal en su interior. Remarcar que el puesto de trabajo de los operadores estaba aislado de toda la parafernalia técnica, entre el ruido y la temperatura era para volverse loco .....
Basándonos en esta particularidad es obvio que el punto más preocupante era el personal del CPD, podríamos decir que ellos mismos son la "llave" para abrir. Profundizando en este aspecto verificamos que las directrices de acceso al CPD eran claras y concisas. Únicamente abrirían el CPD salvo conocimiento con suficiente antelación (12h) y autorización por escrito del responsable de Explotación. Esto afectaba por igual tanto a personal interno como externo. Hicieron mucho énfasis en lo de personal interno. Adicionalmente, la persona que accedía al CPD debía estar permanentemente acompañada de alguien de la organización (normalmente alguien con galones).
De hecho en nuestra visita se cumplieron todos estos requisitos, quisimos improvisar una primera visita esa misma tarde y nos dijeron que hasta mañana nada de nada puesto que no habían transcurrido las 12 h de rigor (obviamente, en situaciones críticas, averías, emergencias, etc. esta planificación no era aplicable).
Pensamos que en esta ocasión sería complicado encontrar una disconformidad, ni siquiera una leve observación. Al día siguiente, en plan extremista por no decir otra cosa, y recordando lo antes mencionado acerca del personal interno sugerimos la siguiente prueba de cumplimiento: Contactamos con la Dirección General de la organización (tampoco era una empresa gigantesca, unos 250 empleados) y propusimos que el propio Director General, sin previo aviso ni nada similar, se fuese directo al CPD e intentara entrar. Dicho y hecho, al Director le encantó la idea y así lo hizo.
Obviamente no estábamos allí para verlo, quizás nuestra presencia hubiera delatado la "encerrona", pero el resultado de la prueba fue satisfactorio a medias. En primera instancia, el personal del CPD se negó y le "recordó" al Director General cual era el procedimiento a seguir, le argumentaron que no tenían constancia de su visita y no podían abrir. Hasta aquí todo bien, el "problema" o no según cómo se mire, fue que el Director se tomó demasiado en serio su papel y literalmente se le fue la "olla". Tenía tan interiorizado que debía entrar que empezó a esgrimir "sutiles" amenazas de despidos, abertura de expedientes, etc.
La persona en cuestión del CPD, creyendo que su empleo estaba seriamente en juego, abrió finalmente la puerta .......... ohh !!!! que lástima .... Finalmente decidimos no reflejar ninguna disconformidad en el informe final, eso si, esta prueba sirvió para tener las reglas de juego siempre presentes.
En resumen, aprovechando este verídico relato, que espero os haya hecho pasar un buen ratito, todavía hoy en día me pregunto si estas "maniobras" son aceptables, éticas, etc. en el marco de una auditoría de seguridad o de cualquier otra índole. Personalmente soy de los que intenta verificar de forma empírica el cumplimiento de loquesea y no suelo constar en acta nada por el simple motivo que lo diga una persona o esté escrito en un procedimiento. Menudo descubrimiento no ? la verdad es que toda auditoría debería realizarse con está premisa, aunque he podido participar en algunas que mejor acabar aquí y ahora .....
CITA DEL DÍA: "La seguridad de la información empieza por la formación"
No hay comentarios:
Publicar un comentario