Una constante en cualquier auditoría es que se repiten las excusas de «pero esto lo vamos a cambiar«, «está en proceso de migración«, «mejor esperamos a que esté operativo tal o cual nuevo sistema«. Vamos, que todo está siempre en continuo cambio.

Y el cambio, como ya sabemos, es un problema para la seguridad si no está relativamente controlado. Pero de lo que va este artículo es de usar el cambio como excusa para retrasar (normalmente indefinidamente) alguna actividad de seguridad.

Puede aparecer de dos formas. La que he comentado antes de esperar para efectuar algún tipo de revisión y la de esperar para implantar alguna medida de seguridad.

La excusa es bastante razonable y suele calar en los responsables que atienden a ella. Pero hay una mentira subyacente y es que… siempre hay cambios, con lo cual el estado al que se propone esperar para efectuar la actividad de seguridad no va a llegar nunca.

Para reflejar esto he hecho el lunes desmotivador de esta semana, esta vez inspirado en el cine español, que ha estado injustamente ausente en los anteriores.

Pues eso, está claro que, al ritmo que van las tecnologías de la información en una organización, todo cambia continuamente y eso no nos debe impedir implantar medidas de seguridad.

Por otro lado… a veces pasa que el cambio que viene y viene y la migración que migra y migra pero… pasa el tiempo y no cambia nada por esto o por aquello.

Por eso, actuemos sobre lo que hay hoy y, si cambia, pues al menos  hemos aprendido y lo haremos mejor en la siguiente versión. Y, además, sabremos que requisitos imponer incluso antes de que cambie.

Por último, relacionado con el asunto del cambio, está claro que eso supone un desafío para la gestión de la seguridad si no está controlado y documentado… ¿O conocéis algún mapa de red actualizado?