El antiguo vicepresidente de ingeniería de Google aboga por una seguridad basada en usuario
La sesión inaugural de la conferencia de seguridad Black Hat tuvo lugar el pasado miércoles y corrió a cargo del antiguo vicepresidente de ingeniería de Google, Douglas Merrill, cuyo discurso no fue ni mucho menos el tradicional de la industria de seguridad. En él, Merrill defendió la idea de dejar que los usuarios sean los que dicten las necesidades de seguridad empresariales.
Douglas Merrill, cuyo más reciente puesto ha sido el de presidente y máximo responsable de operaciones (COO) de EMI Records, empezó su exposición con una metáfora para explicar su visión de la arquitectura de seguridad empresarial: colocar aceras en un campus universitario. Los urbanistas, dijo, llegan y colocan las aceras y la hierba. Seis meses después empiezan a notar parches de hierba seca, ante lo que responden colocando cadenas de metal para que los estudiantes no puedan pisarla y tengan que andar por las zonas pavimentadas. Si los estudiantes persisten en seguir andando sobre el césped, optan por plantar plantas y arbustos para impedir que los estudiantes puedan caminar por la zona verde.
Lo mismo ocurre con la seguridad en la empresa, según Merrill. Las empresas intentan controlar a los empleados restringiendo el uso de la mensajería instantánea (IM), por ejemplo, obligando al tráfico Gmail a pasar por un proxy. En este sentido, Merrill citó su experiencia como COO y su propia frustración en el uso de Exchange y otras soluciones de software empresarial clásicas por no ser demasiado amigables para el usuario. “Los empleados quieren mejores herramientas para trabajar -argumentó Merrill-, e intentan hacer uso de la mejor disponible”. En su opinión, actualmente, la mejor tecnología a menudo se encuentra en el software orientado al segmento de consumo.
Enfoque alternativo
Así, según Merrill, mientras que hace 20 años todo el mundo quería trabajar con el software empresarial, hoy la situación ha cambiado. Actualmente existen herramientas mejores y amigables, como las de mensajería instantánea, en las ofertas para consumidores. Y, en lugar de intentar luchar contra las necesidades y preferencias de los empleados, los responsables de seguridad empresariales deberían trabajar en securizar las redes que han de soportarlas.
Existe, en opinión de Merrill, un enfoque alternativo y más adecuado para diseñar las aceras sobre los campus universitarios: plantar césped y dejar que los estudiantes caminen por él cuanto deseen. Después de seis meses, los diseñadores urbanísticos podrán analizar cuáles son los caminos más usados y, por tanto, más dañados, para después colocar en ellos las aceras. Merrill aboga por un enfoque similar de la seguridad corporativa: los usuarios deberían dirigir el desarrollo de su diseño. En cualquier caso, este experto cree que “las compañías de seguridad cambiarán su estrategia pasando de crear barreras en la infraestructura a centrarse en desarrollar soluciones que la doten de la resistencia requerida en cada área”. Así, según Merrill, “si conseguimos construir adecuadamente la seguridad, todo será más sencillo”.
