Me gustan los documentales de National Geographic Channel incluidos en la serie «Mayday: catástrofes aéreas«. De hecho, hay un post perdido por ahí que me sirvió en su día para ilustrar algunos problemas de Seguridad de la Información.

Recientemente, he visto otro episodio de esta serie que ha despertado cierta curiosidad y estupefacción sobre la ausencia de controles de proveedores. El asunto tuvo un desenlace fatal.

El episodio en cuestión puede ser visto a través de este link de youtube.

Spoiler Alert

¿Por qué caió el avión? Pues, porque los pilotos no sabían pilotar ese avión. Así de sencillo y asombroso.

explosión_2

Qué pasó

Un avión transportaba altos cargos del Gobierno de México de vuelta a la capital. Improvisamente, el avión perdió altura y se estrelló en pleno centro ciudadano. De las investigaciones realizadas, se determinó que los pilotos habían falsificado sus credenciales, haciendo una burda copia de los certificados que los habilitaban a pilotar el tipo de avión que, finalmente, se estrelló.

Asombros, ¿no? Un poco de «copia/pega», algo de Photoshop y, hala, a volar (y a caerse).

El Gobierno de México había contratado a una empresa privada para el traslado de los altos cargos. La empresa, a su vez, había encargado el vuelo a estos dos señores falsificadores. De paso, nadie había comprobado si la empresa reunía las características técnicas para llevar a cabo la tarea encargada. Cosa todavía más grave: nadie había comprobado la veracidad de los certificados habilitantes de los pilotos.

Y esto, exactamente, ¿qué tiene que ver con la Seguridad de la información?

 

La realidad empresarial

Traslademos esta situación a las relaciones empresariales de nuestro día a día. Cuando una empresa contrata un producto y/o servicio a un tercero, pocas (por no decir raras) veces comprueba la exactitud técnica de la oferta recibida. Es decir, nos comportamos como el Gobierno de México en la historia del avión que se estrelló.

He visto propuestas económicas en las que se describe (es un decir) el servicio ofertado con un par de líneas mal redactadas; y el precio (ese sí, bien claro). Nada de garantías, ni mucho menos de parámetros para valorar la eficacia y eficiencia del bien/servicio ofertado. De los controles que pueda realizar la empresa compradora (y que paga), sobre la seguridad de la empresa vendedora, ni la sombra. Se trata de un contrato «a ciegas«, en el que se fía todo… a la confianza.

Cuando señalas, como Auditor de Seguridad, que en ese contrato faltan elementos fundamentales para la defensa de los intereses de tu cliente, normalmente es el mismo cliente que excusa al proveedor, diciéndote «Si éstos son una empresa famosa…«, «Hay confianza«, «Qué más da«.

En estos casos, no te queda otra que redactar un informe concienzudo y esperar a que el avión se caiga (porque se caerá). Con estas premisas contractuales, es muy difícil que tu cliente obtenga el beneficio esperado de su inversión. Por otro lado, también es cierto que, si el mismo Gobierno de un País importante omitió estos controles básicos, ¿cómo pretender que una pequeña empresa los ponga en marcha?

 

Qué hemos aprendido

Por muchos colorines que aparezcan en la oferta y/o que la oferta sea económicamente muy ventajosa, es necesario bajar a los detalles técnicos para valorar la propuesta en su conjunto. Si el producto/servicio que se va a comprar ocupa un lugar estratégico en la cadena de valor de la empresa (léase: un ERP, un data centre, una solución cloud, etc.), la empresa debe estremar las precauciones, exigiendo contractualmente el cumplimiento de unos mínimos que garanticen la viabilidad de la inversión.

Todos los elementos de decisión deben estar razonados, sopesados y revisados. Si el proveedor afirma tener una certificación, pues, lo mejor es comprobarla.

Para este tipo de análisis (previo a la firma, que nos conocemos…), siempre pueden utilizar valiosas herramintas como el «Vendor Management Using COBIT 5» de ISACA.

La alternativa es esperar, a una prudente distancia, a que se caiga el avión.

caída_1