Recientemente he estado documentandome sobre el Budismo Zen y creo que se pueden extraer enseñanzas muy válidas para el mundo de la seguridad.

Con el nombre de Zenguridad (suena mal pero la imaginación no me da para más) intentaré iniciar un conjunto de artículos enfocados en aplicar el Budismo Zen en la seguridad en particular y las TI en general. Por favor, perdonad cualquier imprecisión que pueda cometer respecto al Budismo Zen ya que no soy experto en la materia y, probablemente, lo esté pervirtiendo para mis propios fines.

El Budismo Zen está enfocado en simplificar, actuar y evitar los bloqueos debidos a la super-racionalización de los procesos naturales. Algo que nos sonará a los que trabajemos en seguridad en los entornos de TI actuales.

Zen y té blanco

Para empezar, veamos el concepto de Tao. Una de las máximas del Budismo es que no hay dualidad, todo es una única cosa o, más bien, ninguna cosa (por lo que suelen denorminarlo el Vacío). El Tao va en contra de la división y la separación mediante conceptos.

Es curioso que la mayor parte de los estándares, metodologías y legislaciones se empeñan en comenzar siempre precisamente haciendo una división y categorización que no siempre se adapta a la realidad cambiante y continua de los sistemas de información y de la propia información.

Esto supone unos quebraderos de cabeza grandísimos en determinar qué es un sistema, qué es un fichero, dónde están los límites, etc. que rozan la misma metafísica y que requieren un esfuerzo en tiempo y recursos para que, al poco, se queden obsoletos debido al estado de cambio continuo.

¿Habéis intentado implantar el ENS? ¿Hacer análisis de riesgos con MAGERIT? ¿Habéis intentado identificar qué ficheros de carácter personal hay en vuestra organización?

Realmente todo está relacionado (es una misma cosa). Hacer divisiones, en el caso de la seguridad, sólo nos sirve para creer que hay cierto aislamiento entre sistemas, cuando eso normalmente no es cierto. Si bien puede ayudar a la hora de planificar o de hacerse una idea de la arquitectura no se debe pensar que se trata efectivamente de ‘cosas distintas’ porque, al final, todo es el Tao.

Esto se descubre amargamente cuando te hacen un análisis de seguridad (test de penetración) y, a través de un sistema poco importante, se pueden explotar otros sistemas aparentemente no relacionados. Y es que, a un externo a la organización, poco le importan las divisiones que tú hayas hecho en tu documentación.

En el Budismo Zen, el Universo no está formado por la adición de múltiples elementos sino que es una única cosa que ‘va creciendo’. ¿No os resulta familiar? En los entornos de TI la proliferación de máquinas virtuales, sistemas, bases de datos, relaciones, reglas de acceso, etc. se parece más a un continuo que va creciendo que a un conjunto de elementos independientes que juntos forman sistemas de información independientes.

Os dejo con esta reflexión y espero que os guste esta ‘sección’ y que sirva para que entendamos mejor este mundo que intentamos hacer más complicado de lo que realmente es. En próximas entregas seguiremos investigando otros conceptos extraídos del Budismo Zen, su relación con la seguridad y resultados prácticos derivados.