Lo que no está escrito, no existe

Me gusta leer. Es un hábito que me inculcaron mis padres, no porque me obligaran a hacerlo, sino porque los he visto leer desde que tengo memoria. Me encantan las novelas, me entretienen. Y de eso se trata, de disfrutar de la lectura. El libro que tengo ahora entre manos es Deuda de honor, de Tom Clancy. Aunque se publicó en 1994, trata temas universales -el valor de la diplomacia en tiempos convulsos, la actuación según unos principios, la firmeza de las acciones y la defensa del honor- y, por tanto, actuales.

Una de sus frases me gustó y me hizo pensar:

“Lo que no está escrito, no existe”.

La semana pasada me acordé de ella porque puedo aplicarla en muchos ámbitos, también en el mundo de la seguridad. Y de eso trata esta entrada, de seguridad y de la importancia de dejarlo todo por escrito. Intentaré explicarlo usando una experiencia concreta: la “caída” de este blog.

En el ámbito de la seguridad los riesgos se analizan para aplicar contramedidas o salvaguardas y mitigar así las amenazas a las que está sometido un activo. En el caso que me ocupa, el activo es el blog. La amenaza que se materializó fue un error no intencionado. La contramedida que se debía aplicar, el plan de copia de seguridad. Para analizar los riesgos, la persona encargada de la seguridad debe usar alguna metodología.

Una de ellas es MAGERIT –Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información–. En MAGERIT, este tipo de amenaza se define en el catálogo de elementos como errores y fallos no intencionados; en este caso, sería un error del administrador de la página web: yo. La disponibilidad es una dimensión de la información que implica que esta debe estar a disposición de quienes deben acceder a ella en el momento que la requieran; en este caso, al ser un servicio online abierto, debería estar disponible para cualquier persona en cualquier momento.

De haber tenido más tiempo –a pesar de que la falta de tiempo nunca puede ser una excusa–, una vez terminado el blog, lo más razonable hubiera sido dejar por escrito los pasos que se deberían seguir en caso de pérdida de la información. También hubiera sido sensato probar si la restauración de mi copia de seguridad funcionaba correctamente. Esto es lo que se llama plan de copia de seguridad; yo tenía la copia de seguridad, pero no un plan de copia de seguridad.

Y la amenaza se materializó. Aunque ya lo había hecho antes, esta vez, al editar el código PHP, la web dejo de funcionar. Tenía mi copia de seguridad, pero no escribí el procedimiento de restauración de la copia. Antes de lo que pensaba, llegó ese funesto momento y, cuando quise solucionar el problema, empecé a comportarme como un pollo sin cabeza (Nacho, no sabes lo que me acordé de ti). A partir de ese instante perdí el control de la situación y fui incapaz de restaurar la web al momento previo al error. Lo viví con algo que me había costado poner en marcha y que me hizo sentir satisfecho de mí mismo, aunque fuera algo sencillo. Lo viví cuando me enviaron mensajes preguntándome qué había pasado con el blog. Lo viví veinticuatro horas después de publicarlo.

No me lo creía, pero ahí estaba. No sabía cómo solucionar un error no intencionado y, por tanto, desconocía el protocolo que debía seguir para mitigar la amenaza. De haber tenido el plan de copia de seguridad completo, ¿qué hubiera pasado? Lo habría cogido y me habría ceñido a ese plan. Lo habría restaurado y, en poco tiempo, el blog hubiera estado funcionando gracias a la copia de seguridad del momento previo a cometer el error. Al no tenerlo, ¿qué hace cualquier hijo de vecino cuando se pone nervioso?, comportarme como un pollo sin cabeza. Además, volví a enfrascarme en una tarea que ya estaba finalizada. En definitiva, un desastre.

¿Qué falló? Fallé yo, no dejé por escrito lo que tenía que hacer. Más tarde me acorde de la frase: “Lo que no está escrito, no existe” … Nunca mejor dicho. ¿Por qué no lo escribí? ¿Sinceramente? Ni me planteé que eso pudiera llegar a pasar. Pero pasó, antes de lo que pensaba y peor de lo que me hubiera imaginado. Habían pasado veinticuatro horas desde que lo publiqué y la página estuvo fuera de servicio un día entero.

Moraleja: si no tienes una copia de seguridad, ¡hazla! Si no has comprobado si funciona la restauración de la copia, ¡compruébala! Si no has escrito los pasos que debes dar para restaurarla, ¡escríbelos!

Cuando llegue el momento –y llega antes o después, créeme– querrás tener esa copia de seguridad comprobada y con todos los pasos de restauración anotados. En eso consiste un plan de copia de seguridad, y puede ser tan fácil o tan difícil como lo sean tus necesidades.

Incibe –Instituto Nacional de Ciberseguridad– ofrece guías que te ayudarán a materializar este proceso. Además, disponen de un catálogo de herramientas de ciberseguridad que te permitirán llevarlo a cabo. También puede interesarte la Oficina de Seguridad del Internauta -OSI- orientado a particulares.

Yo, por mi parte, ya lo he hecho. No puedo afirmar que no me volverá a pasar –las amenazas no se pueden eliminar– pero sí que puedo decir que seré capaz de mitigar la amenaza en caso de reaparecer, no solo por un error sino por cualquier tipo de amenaza a la que se vean expuestos mis activos.

Desde mi punto de vista, el problema no es que me haya equivocado. El problema sería si, después de equivocarme, no hiciera nada por aprender de mi error y mejorar mis prácticas.

“Lo que no está escrito, no existe” se puede aplicar en muchas situaciones. Yo he aplicado esta frase en la seguridad con la experiencia que he vivido. Y, ¿a ti?, ¿en qué situación se te ocurre usarla?


¿Te ha gustado? Si quieres, puedes compartirlo o dejar un comentario.


  • 15
  •  
  •  
  •  
  •  
  •  
    15
    Shares

Una respuesta a “Lo que no está escrito, no existe”

  1. Muy bueno Javi!! Es más, me ha hecho gracia que escribieras sobre esto. En mi trabajo es algo que decimos continuamente, y de hecho hace poco tuvimos un problema y lo primero que hicimos fue escribir todo lo que habíamos hecho y lo que había pasado… xq como tú bien dices y ante un juez así es también, ” lo que no esta escrito, no existe o no está hecho”. Así que nosotros siempre tratamos de escribir todo lo que hacemos x absurdo que parezca. Muy interesante Javi!!

Si quieres, puedes escribir un comentario