Translate

23:42
0 comentaris

La seguretat a les startups

diumenge, 30 de març de 2014
empresa tecnologia i gestió de riscos





Habitualment és relaciona la seguretat amb quelcom amb un cost elevat i per tant les startups, i les petites empreses, acostumen a obviar-ho.







 
Tot i que la seguretat és un punt important dins de tota empresa, a les startups generalment, té una presència menor doncs sempre es prioritzen altres coses. A la pràctica aquest plantejament és correcte, però amb matisos. És cert que un pla director de seguretat, tal com s’entén habitualment és excessiu per una startup o per una petita empresa.

La seguretat perimetral cal mirar-la, però tampoc cal arribar a la seguretat total. De fet un dels principis de seguretat és “Tot el que un humà pot protegir un altre pot desprotegir-ho, simplement és una qüestió de temps i recursos”. Amb aquest concepte clar el que cal implementar a nivell de seguretat perimetral són els nivells mínims per tal que eines automatitzades no puguin causar problemes. D’aquesta manera, amb una seguretat mínima, estant al dia de les actualitzacions de seguretat, amb unes quantes precaucions en el desenvolupament web ( que habitualment tots el frameworks ja tenen ) i un escaneig perimetral periòdic per que no ens passi res per alt, n’hi ha prou en un primer estadi de la infraestructura per mantenir fora els robots i els afeccionats. Els professionals segur que podran entrar però, realment un professional perdrà el temps intentant entrar en els sistemes d’una empresa petita, tot i que prometedora? o es dedicarà a objectius més importants? és realment un risc a considerar?

La seguretat interna, és el gran problema de la seguretat, la gran majoria dels problemes de seguretat tenen lloc internament. Aquí hi ha molta feina a fer per part de l’equip de seguretat, però un altre cop, en una startup, fins i tot en una petita empresa, crec que aquest risc pot ser assumible.

En alguns casos es requereixen certificacions de seguretat per algun dels processos de l’empresa, generalment per a processos de compra. Aquestes certificacions, ( PCI Compliace, ISO-27000,  per exemple ) són costoses d’aconseguir i compliquen el funcionament d’una startup, doncs es basen en introduir procediments de control a les activitats de l’empresa. Aquestes certificacions bàsicament es basen en unes regles de seguretat més o menys bàsiques, i en afegir controls a totes les accions que es fan a l’empresa amb les dades. D’aquesta manera en cas que hi hagi algun tipus de problema de seguretat es pot investigar l’incident. És possible treballar amb aquestes certificacions? per descomptat, però es perd una mica de flexibilitat que als inicis d’una startup és bàsica i s’afegeixen costos que de moment ens podem estalviar. 

Amb l’excepció de casos excepcionals, en general, es pot evitar tenir el requeriment de tenir aquestes certificacions, bàsicament amb l’externalització d’alguns serveis. L’externalització probablement limitarà alguna de les característiques, per exemple en el procés de compra. Segurament no serà possible tenir el botó de compra en 1-click. Però en un inici aquesta no hauria de ser una prioritat doncs els costos seran elevats en relació als beneficis i fins i tot els riscos que comporta tenir-ho internalitzat. Quina millora de facturació pot produir el botó de compra amb 1-click en un portal de e-commerce que té 100 visites per dia? Compensarà la inversió en la implementació de la certificació?

Finalment arribem a la part important de la qüestió, el que sí que cal tenir en compte.

Què passa amb les dades, la infraestructura, el portal d’ecommerce si hi ha algun problema? Som capaços de restaurar la funcionalitat en un període de temps determinat?
Haurem de ser capaços de recuperar la infraestructura que genera els ingressos en cas que hi hagi qualsevol tipus de problema en un temps determinat. Idealment aquest temps hauria de ser zero, però en una startup o una petita empresa, el més raonable seria parlar d’hores. Quan menor sigui el temps de recuperació major serà el seu cost. Per tant cal ser realista, en una startup ( i en moltes empreses ) no es pot tenir un temps de recuperació zero.

En aquest punt calen algunes preguntes més:

·         Quins són els serveis essencials per tal que l’empresa continuï funcionant?
·         Quin és el temps màxim que podem estar sense aquests serveis?
·         Quina és la finestra màxima d’informació que podem assumir perdre?

En funció de les respostes a aquestes preguntes necessitarem implementar determinades coses que evidentment tindran costos diferents.
En una startup normalment les respostes a aquestes preguntes no han d’implicar uns costos elevats.

El procés de creació d’aquest pla de recuperació és el següent:

Identificació dels sistemes i subsistemes crítics. Per exemple, portal e-commerce, servei d’enviament de correus electrònics de comandes, sistema de processos per gestió de les comandes, etc. Dins d’aquests sistemes podem trobar, fins i tot components que no són vitals i per tant podem treure’ls de la llista per exemple, el motor de cerca del portal és important però no vital. Fins i tot podríem definir diversos nivells de criticitat, per exemple la interfície amb el servei logístic és important però secundaria respecte l’entrada de noves comandes.

Creació d’un inventari dels components que conformen cadascun dels sistemes i subsistemes que s’han identificat com a crítics. Com a element en aquest cas incloem totes les coses necessàries pel funcionament ( encara que en precari ) d’un determinat servei.
Portal d’e-commerce
Servidor web.
Servidor Base de dades.
Connexió a Internet.
DNS.
Codi de l’aplicació.
Bases de dades.
Configuració del servidor web.
Configuració del servidor de base de dades.
Configuració dels elements de xarxa.
Configuració dels processos programats
Codi dels processos programats.
Enviament correus electrònics, comandes
Servidor de mail.
configuració del servidor de mail.

Un cop identificats tots els components crítics hem d’assegurar-nos que tenim tota la informació necessària per recuperar des de zero qualsevol d’aquests elements. Això en general, implica tenir còpies dels arxius o la documentació que ens permeti de tornar a posar en funcionament aquests elements.

Les còpies de seguretat i la documentació seran doncs un punt crític d’aquest procediment. Hauran de ser fiables i estar accessibles.
Per fiabilitat entenem, que hem d’estar segurs que la còpia s’ha realitzat correctament i que es podrà restaurar sense problemes. En l’accessibilitat hem de tenir en compte que com que aquest procediment ha de cobrir sobre qualsevol problema que existeixi, no serà recomanable tenir les còpies de seguretat a la mateixa infraestructura. Estem fent un pla per recuperar la infraestructura en cas que s’hagi trencat, si la informació per recuperar-la estava dins de la mateixa també l’haurem perdut. Cal tenir les còpies de seguretat i la documentació en algun lloc accessible quan hi ha problemes, en un lloc diferent de la infraestructura. Una estació de treball o similar, pot ser adequada si es troba fora de la infraestructura.

Un cop recollida aquesta informació ja podem començar la creació del procediment de recuperació i la seva documentació. Una descripció d’aquest document la posaré en un altre post.

Amb tot el descrit fins aquí podem tenir una seguretat raonable ( amb riscos assumibles ) dins d’una startup o una petita empresa, amb uns costos reduïts.

Comparteix amb:
 
Toggle Footer
Inici