Rompiendo barreras: La clave para prevenir brechas de seguridad está en la descentralización de IT

Si observas cualquier sitio web que mantenga listas de violaciones de seguridad en las que se ponga en riesgo información personal identificable (PII) de forma involuntaria al público, encontrarás que hay dos categorías de organizaciones responsables de la mayoría de estas violaciones: la educación superior y el gobierno.

Índice de Contenido
  1. La descentralización de TI bien hecha
  2. La descentralización de TI mal implementada

La descentralización de TI bien hecha

Al estar involucrado en ambos sectores durante varios años, tengo una teoría sobre por qué son particularmente vulnerables a las violaciones de seguridad, y creo que el mayor culpable es la descentralización de TI mal implementada. Estoy enfatizando "mal implementada" porque en el pasado he escrito y aún creo que hay una forma correcta de descentralizar la TI y una forma incorrecta. Explicaré las formas correcta e incorrecta de descentralización de TI y luego explicaré cómo esto lleva a violaciones de seguridad.

  1. Está planeada.
  2. Hay una clara distinción de roles, responsabilidades y servicios entre la TI central y las contrapartes descentralizadas de la organización.
  3. Se delega el control y las responsabilidades a las unidades descentralizadas, pero no se abdica de ellas.
  4. Aunque se delega el control y las responsabilidades, la TI central tiene un papel de supervisión sólido.
  5. La TI central tiene la autoridad y el respaldo de la dirección para hacer cumplir las políticas y los procedimientos en toda la organización.
  6. El financiamiento de TI para la organización es controlado de alguna manera por la TI central, ya sea mediante la aprobación de compras o proyectos o mediante el control directo de los fondos.
  7. Las unidades descentralizadas no son ni rebeldes ni huérfanas.
  8. Hay un sólido proceso de gobernanza implementado.
  9. La seguridad informática y las auditorías de TI no son una ocurrencia tardía para la organización.
  10. La organización toma la TI en serio y el CIO de la organización es un miembro del equipo de dirección.

Algunos podrían decir que lo anterior parece tener demasiado control central, pero argumentaré que se puede tener autonomía y un control sólido al mismo tiempo, y que el modelo anteriormente mencionado es un método sólido para la prestación de servicios de TI.

La descentralización de TI mal implementada

Ahora analicemos las características de lo que yo llamo "Descentralización al estilo Laissez-faire".

  1. No está planificada y la TI ha "crecido" en diversas áreas de la organización, a menudo a través de fuentes de financiamiento dispares.
  2. No hay una clara distinción entre la TI central y las diversas unidades descentralizadas en cuanto a roles, responsabilidades y servicios proporcionados.
  3. Si existen estándares, generalmente solo son seguidos por la TI central, mientras que las unidades descentralizadas siguen los suyos propios o no tienen ninguno en absoluto.
  4. La TI central generalmente tiene poco o ningún control sobre las unidades descentralizadas y, si se enfrenta a una situación de conflicto con una unidad descentralizada, a menudo perderá frente a ella.
  5. La unidad de TI central tiene autoridad solo sobre sí misma y su capacidad de supervisión es meramente asesora, sin forma de obligar a una unidad descentralizada a cooperar.
  6. El financiamiento de las unidades descentralizadas es independiente de la TI central y a menudo se utiliza como la principal razón para la descentralización, como en "es mi dinero, no me dirás cómo gastarlo".
  7. Existen desigualdades en el acceso a la TI dentro de la organización debido a los mecanismos de financiamiento de TI.
  8. El proceso de gobernanza de TI es débil o no existe.
  9. La TI central se percibe como un requisito administrativo, como encargarse de finanzas/nóminas, y no es vista como un verdadero socio comercial.
  10. La política juega un papel importante en la prestación de servicios de TI.

Volviendo a mi declaración original, gran parte de la TI gubernamental y de la educación superior que he conocido en mi carrera se asemeja más a la Descentralización al estilo Laissez-faire que a la "descentralización bien implementada". La TI en ambos sectores tiende a crecer según sea necesario y se convierte en organizaciones de TI altamente descentralizadas. ¿Por qué esto es un problema y cómo lleva a violaciones de seguridad?

El modelo de laissez-faire puede funcionar para brindar servicios de TI, a veces bien y a veces no tan bien. Si bien cada uno de nosotros puede señalar una unidad descentralizada que lo hizo mejor y más rápido y más barato que la TI central, hay muchas otras que apenas logran hacer el trabajo. A menudo están compuestas por personas que tienen una visión secundaria de la TI y la consideran como un pasatiempo, un derecho o un requisito dependiendo de su motivo de participación en el negocio en primer lugar. Necesitan la TI para realizar su trabajo y hacen lo que sea necesario para lograrlo, pero no tienen tiempo ni recursos para gestionar la TI como un negocio o una profesión.

Títulos de desarrollo profesional para desarrolladores: Cuál es tu meta

Este modelo ha funcionado durante muchos años para proporcionar servicios de TI, pero el mundo ha cambiado. La TI dirigida por "aficionados" (y no lo digo de manera despectiva) ha seguido brindando servicios necesarios, pero no puede mantenerse al día con el nivel de sofisticación al que los "malos" han evolucionado ni con las responsabilidades y los riesgos que acompañan a la TI en la actualidad. En el pasado, una organización podía tener una TI mediocre y ser solo un peligro para sí misma, pero ahora también representa un peligro para otros.

Si se combina esta falta de calidad y sofisticación con un producto muy deseable (la PII de cientos de miles de personas), se puede entender por qué la educación superior y el gobierno están propensos a la pérdida de datos.

En última instancia, es el CEO de la organización quien es responsable de cómo se lleva a cabo la TI en su organización. Hay quienes entienden esto y asignan la autoridad y los recursos donde deben estar para crear una organización de TI, ya sea centralizada o descentralizada, que sea responsable y efectiva. Luego están aquellos que no lo hacen y esperan un desastre para obligarlos a abrir los ojos. Es una lástima que ese "desastre" a menudo se presente en forma de exposición de PII de muchas personas inocentes y desprevenidas que confiaron en esas organizaciones.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre CXO, allí encontraras muchos artículos similares a Rompiendo barreras: La clave para prevenir brechas de seguridad está en la descentralización de IT , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.