Confianza, Ciberseguridad, y el Camino de Santiago

En mi trabajo, uno de mis muchos cometidos es conocer las diferentes Plataformas Cloud que van surgiendo, independientemente de su ámbito de aplicación. Este tipo de tecnologías tiende a ser de aplicación muy trasversal, es por eso que dedico parte de mi tiempo a estudiarlas. No son pocas ya las veces que he tenido la siguiente conversación:

FS -pero, ¿dónde están tus datos?

XX -pues en la nube

FS -vale, en la nube, ¿pero dónde físicamente?

XX -pues eso, en la nube

Estamos viviendo una época en la que el outsourcing de infraestructura y servicios IT está irrumpiendo como una locomotora, y yo soy el primero que está a favor de ello. Ahora bien, no podemos cometer el error de basar parte de nuestra política de Ciberseguridad en la confianza ciega hacia el proveedor IT. Pero, ¿qué tienen que ver la confianza, la Ciberseguridad, y el Camino de Santiago?

Una de mis etapas en El Camino

El Camino

Este verano he dedicado unos días a recorrer El Camino, una aventura que sin duda recomiendo. Una de las curiosidades que me ha llamado la atención es el alto grado de confianza que tiene la gente, tanto hacia otros peregrinos como hacia los hospitaleros y otros voluntarios. La gran mayoría de la gente mantiene sus posesiones desatendidas, llevados por el estupendo clima de compañerismo y de seguridad que se respira en las diferentes localizaciones que se visitan a lo largo del recorrido. Un día, cuando iba a dormir, vi que alguien había cambiado mis pertenencias a la cama adyacente. No eché nada en falta, y no me preocupó demasiado. Sin embargo, me hizo pensar en cómo tenemos cierta tendencia a la sobreconfianza en algunos ámbitos, y cómo esto podría ser un error importante en el caso de las infraestructuras IT.

Outsourcing

La gran mayoría de empresas que desarrollamos productos ITC contamos hoy en día con un alto grado de outsourcing en infraestructura, hecho que heredan lógicamente nuestros productos. Una estrategia deficiente en el aprovisionamiento IT afecta directamente a dichos productos y servicios, y por tanto a nuestros clientes. En el caso de los servicios para Industria 4.0, este nivel de herencia llega incluso a la infraestructura de control y automatismos (OT), cuyo impacto real dependerá del grado de integración IT – OT.

Malcolm Marshall (Director Global de Ciberseguridad en KPMG) decía recientemente:

«Colectivamente hemos transitado como sonámbulos hacia una posición de vulnerabilidad y hemos sido incapaces de aprender las lecciones de la integración de la seguridad dentro de nuestros productos»

La responsabilidad de desarrollar productos IT para industria

Evidentemente, la solución para evitar incidentes no es volver a desconectar las infraestructuras OT de las IT, al igual que no sería lógico volver a la banca o la sanidad no informatizada. Ya nadie cuestiona que prácticamente todos los ámbitos de nuestra vida están directamente impactados por las tecnologías informáticas. Esto quiere decir que sobre nosotros recae una gran responsabilidad, y tenemos que estar a la altura. Las empresas que desarrollamos y ofertamos productos basados en Software Cloud para industria, tenemos que ser conscientes del alcance final de nuestros productos, el impacto que puede tener una mala política de aprovisionamiento IT, y por tanto actuar en consecuencia.

DataCenter de uno de nuestros proveedores de infraestructura IT

Generar confianza; Ciberseguridad en la Cadena de Valor

Volviendo a la conversación que relataba al comienzo de este artículo, en mi día a día veo que empieza a ser habitual asociar el concepto «cloud» con el concepto «me da igual dónde estén mis datos», lo que en muchos casos quiere decir «me da igual cómo se gestionen mis datos porque para eso lo sobcontrato (y deposito mi confianza en mi proveedor, cuyas decisiones – que no controlo – se convierten en un elemento crítico para mí)». En el caso de Savvy Data Systems, es una postura que, como proveedor de soluciones IT para industria, no compartimos en absoluto. No solo conocemos perfectamente a nuestros proveedores IT (tecnología, infraestructura, cumplimiento de normativas, ISOs, procedimientos, política de crecimiento, etc.), sino que los auditamos personalmente. Sabemos con precisión en qué localizaciones se encuentran los datos de nuestros clientes, porque las hemos visitado y hemos visto físicamente nuestros procesadores, nuestros discos, nuestras memorias.

Efectivamente, esta política de aprovisionamiento IT supone una sobrecarga de trabajo importante. No por el hecho de visitar o auditar, sino por el hecho de no utilizar SaaS a la hora de construir nuestras plataformas, ya que nuestra capa base de trabajo es siempre el IaaS. Ése es el punto de equilibrio que hemos encontrado entre la confianza que somos capaces de asumir hacia nuestros proveedores y los hechos verificables que les exigimos. Con esto no quiero dar a entender que plataformas SaaS como AWS, Google Cloud, FiWare, etc. sean inseguras. No puedo darlo a entender porque lo desconozco. Y ése es precisamente el motivo por el que nuestra política de aprovisionamiento IT se basa en IaaS, y en Data Centers que nuestros clientes industriales tengan cerca y puedan ir a visitar. De esta forma proyectamos hacia nuestros clientes la confianza sobre esas buenas prácticas que nosotros gestionamos de forma directa sobre toda nuestra Cadena de Valor.

Conclusión

Tenemos que estar a la altura de la responsabilidad que estamos asumiendo. Esto supone crear productos con un alto nivel de seguridad, vigilando toda nuestra Cadena de Valor, de la misma forma en la que un fabricante de automóviles controla con precisión a sus proveedores, siendo conocedor de que la calidad final del producto depende en gran medida de éstos.

Hemos aprendido que la confianza se genera de una forma mucho más sólida cuando se basa en hechos verificables por uno mismo, y no tanto en esa confianza más propia de «El Camino» en la que delegamos la seguridad de nuestros productos en la suposición de que nuestros proveedores estarán haciendo las cosas bien.