Habitualment és relaciona la seguretat amb quelcom amb un cost elevat i per tant les startups, i les petites empreses, acostumen a obviar-ho.
Tot i que la seguretat és un punt
important dins de tota empresa, a les startups generalment, té una presència
menor doncs sempre es prioritzen altres coses. A la pràctica aquest plantejament
és correcte, però amb matisos. És cert que un pla director de seguretat, tal
com s’entén habitualment és excessiu per una startup o per una petita empresa.
La seguretat
perimetral cal mirar-la, però tampoc cal arribar a la seguretat total. De
fet un dels principis de seguretat és “Tot
el que un humà pot protegir un altre pot desprotegir-ho, simplement és una qüestió
de temps i recursos”. Amb aquest concepte clar el que cal implementar a
nivell de seguretat perimetral són els nivells mínims per tal que eines
automatitzades no puguin causar problemes. D’aquesta manera, amb una seguretat
mínima, estant al dia de les actualitzacions de seguretat, amb unes quantes
precaucions en el desenvolupament web ( que habitualment tots el frameworks ja
tenen ) i un escaneig perimetral periòdic per que no ens passi res per alt, n’hi
ha prou en un primer estadi de la infraestructura per mantenir fora els robots
i els afeccionats. Els professionals segur que podran entrar però, realment un
professional perdrà el temps intentant entrar en els sistemes d’una empresa
petita, tot i que prometedora? o es dedicarà a objectius més importants? és realment un risc a considerar?
La seguretat
interna, és el gran problema de la seguretat, la gran majoria dels
problemes de seguretat tenen lloc internament. Aquí hi ha molta feina a fer per
part de l’equip de seguretat, però un altre cop, en una startup, fins i tot en una petita empresa, crec que aquest
risc pot ser assumible.
En alguns casos es requereixen certificacions de seguretat per algun
dels processos de l’empresa, generalment per a processos de compra. Aquestes
certificacions, ( PCI Compliace, ISO-27000, per exemple ) són costoses d’aconseguir i
compliquen el funcionament d’una startup, doncs es basen en introduir
procediments de control a les activitats de l’empresa. Aquestes certificacions
bàsicament es basen en unes regles de seguretat més o menys bàsiques, i en
afegir controls a totes les accions que es fan a l’empresa amb les dades. D’aquesta
manera en cas que hi hagi algun tipus de problema de seguretat es pot
investigar l’incident. És possible treballar amb aquestes certificacions? per
descomptat, però es perd una mica de flexibilitat que als inicis d’una startup
és bàsica i s’afegeixen costos que de moment ens podem estalviar.
Amb l’excepció de casos excepcionals, en general, es pot evitar tenir el requeriment de tenir aquestes certificacions, bàsicament amb l’externalització d’alguns serveis. L’externalització probablement limitarà alguna de les característiques, per exemple en el procés de compra. Segurament no serà possible tenir el botó de compra en 1-click. Però en un inici aquesta no hauria de ser una prioritat doncs els costos seran elevats en relació als beneficis i fins i tot els riscos que comporta tenir-ho internalitzat. Quina millora de facturació pot produir el botó de compra amb 1-click en un portal de e-commerce que té 100 visites per dia? Compensarà la inversió en la implementació de la certificació?
Amb l’excepció de casos excepcionals, en general, es pot evitar tenir el requeriment de tenir aquestes certificacions, bàsicament amb l’externalització d’alguns serveis. L’externalització probablement limitarà alguna de les característiques, per exemple en el procés de compra. Segurament no serà possible tenir el botó de compra en 1-click. Però en un inici aquesta no hauria de ser una prioritat doncs els costos seran elevats en relació als beneficis i fins i tot els riscos que comporta tenir-ho internalitzat. Quina millora de facturació pot produir el botó de compra amb 1-click en un portal de e-commerce que té 100 visites per dia? Compensarà la inversió en la implementació de la certificació?
Finalment arribem a la part important de
la qüestió, el que sí que cal tenir en compte.
Què
passa amb les dades, la infraestructura, el portal d’ecommerce si hi ha algun
problema? Som capaços de restaurar la funcionalitat
en un període de temps determinat?
Haurem de ser capaços de recuperar la
infraestructura que genera els ingressos en cas que hi hagi qualsevol tipus de
problema en un temps determinat. Idealment aquest temps hauria de ser zero,
però en una startup o una petita empresa, el més raonable seria parlar d’hores. Quan menor sigui el
temps de recuperació major serà el seu cost. Per tant cal ser realista, en una
startup ( i en moltes empreses ) no es pot tenir un temps de recuperació zero.
En aquest punt calen algunes preguntes
més:
·
Quins són els serveis essencials per tal
que l’empresa continuï funcionant?
·
Quin és el temps màxim que podem estar
sense aquests serveis?
·
Quina és la finestra màxima d’informació
que podem assumir perdre?
En funció de les respostes a aquestes
preguntes necessitarem implementar determinades coses que evidentment tindran
costos diferents.
En una startup normalment les respostes a
aquestes preguntes no han d’implicar uns costos elevats.
El procés de creació d’aquest pla de
recuperació és el següent:
Identificació
dels sistemes i subsistemes crítics.
Per exemple, portal e-commerce, servei d’enviament de correus electrònics de comandes,
sistema de processos per gestió de les comandes, etc. Dins d’aquests sistemes
podem trobar, fins i tot components que no són vitals i per tant podem
treure’ls de la llista per exemple, el motor de cerca del portal és important
però no vital. Fins i tot podríem definir diversos nivells de criticitat, per
exemple la interfície amb el servei logístic és important però secundaria
respecte l’entrada de noves comandes.
Creació
d’un inventari dels components que
conformen cadascun dels sistemes i subsistemes que s’han identificat com a
crítics. Com a element en aquest cas incloem totes les coses necessàries pel
funcionament ( encara que en precari ) d’un determinat servei.
Portal d’e-commerce
|
Servidor web.
Servidor Base de dades.
Connexió a Internet.
DNS.
Codi de l’aplicació.
Bases de dades.
Configuració del servidor web.
Configuració del servidor de base de
dades.
Configuració dels elements de xarxa.
Configuració dels processos programats
Codi dels processos programats.
|
Enviament correus electrònics, comandes
|
Servidor de mail.
configuració del servidor de mail.
|
Un cop identificats tots els components
crítics hem d’assegurar-nos que tenim tota la informació necessària per
recuperar des de zero qualsevol d’aquests elements. Això en general, implica
tenir còpies dels arxius o la documentació que ens permeti de tornar a posar en
funcionament aquests elements.
Les còpies de seguretat i la documentació seran
doncs un punt crític d’aquest procediment. Hauran de ser fiables i estar
accessibles.
Per fiabilitat entenem, que hem d’estar
segurs que la còpia s’ha realitzat correctament i que es podrà restaurar sense
problemes. En l’accessibilitat hem de tenir en compte que com que aquest
procediment ha de cobrir sobre qualsevol problema que existeixi, no serà
recomanable tenir les còpies de seguretat a la mateixa infraestructura. Estem
fent un pla per recuperar la infraestructura en cas que s’hagi trencat, si la informació
per recuperar-la estava dins de la mateixa també l’haurem perdut. Cal tenir les
còpies de seguretat i la documentació en algun lloc accessible quan hi ha
problemes, en un lloc diferent de la infraestructura. Una estació de treball o
similar, pot ser adequada si es troba fora de la infraestructura.
Un cop recollida aquesta informació ja podem començar la creació
del procediment de recuperació i la seva documentació. Una descripció d’aquest
document la posaré en un altre post.
Amb tot el descrit fins aquí podem tenir una seguretat raonable (
amb riscos assumibles ) dins d’una startup o una petita empresa, amb uns costos reduïts.
Comentaris
Publica un comentari a l'entrada