Jonathan Hickman hizo un reinicio o «reboot» de los X-Men con doce cómics llamados Dinastía de X y Potencias de X (seis grapas por cada título) muy recomendable. Y como esto es un blog jurídico voy a aprovechar para hablar de una cuestión que leí en los cómics y que me dejó pensando.
Si conocéis a los mutantes, no desvelo nada si os digo que la principal funcionalidad de Cerebro es la posibilidad de localizar a mutantes del planeta. Si no conocéis a los mutantes, os digo que Cerebro es un dispositivo que utiliza un mutante, Charles Xavier, para poder localizar a otros mutantes del planeta. Es un localizador francamente bueno.
Sin entrar en para qué ni en por qué, la versión de Cerebro (tercera generación) que maneja Charles Xavier en los cómics de Hickman, tiene la funcionalidad de hacer copias de las mentes de los mutantes.
Y aquí es donde viene el motivo por el que me quedé pensando cuando leí una conversación, en Potencias de X, entre Charles Xavier y Forja. El profesor Xavier le pide a Forja que implemente un sistema para guardar copias de seguridad de Cerebro. Y entonces Forja le plantea dos cuestiones a Xavier:
- Un posible problema de volumen, porque hay muchas mentes mutantes y el número aumenta (Sí, Wanda, a pesar de lo tuyo, que se te fue mucho la pinza).
- Y la redundancia que implica guardar versiones actualizadas de las mentes de los mutantes conforme transcurre el tiempo.
Forja dice que necesitará, como mínimo, una copia de seguridad. Y Charles le contesta que cinco, ¡que quiere cinco!: «Una unidad principal, tres copias de seguridad y una más para complicaciones imprevistas.»
A partir de ahí se meten en un tema de necesidad de una fuente de energía y almacenaje ilimitados y pasan cosas que os tenéis que leer en el cómic. ¡¡Leed el cómic!!.
Cuando leo estas cosas yo entro en modo análisis de riesgos, posibles vulnerabilidades, amenazas sobre Cerebro, cómo evitarlas y encima cinco copias, y dónde guardas esas copias y cómo proteges esas copias y run run y run run.
Y ya les hablo:
– Suena muy bien Forja. Y Charles, seguro que vas a hacer cosas buenas a favor de los mutantes o eso quieres creer, como siempre. Pero se supone que sois dos de las personas más listas del planeta, con el permiso de Jean Grey. ¿Qué tal algo de seguridad coordinada en todo esto?
Charles, yo empezaría por un Plan Director de Seguridad que, por resumir con la definición de INCIBE se trata de «definir y priorizar un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.»
Vamos a decir que aquí la organización responsable de la seguridad de la información es la «organización mutante», básicamente porque lo necesito para el ejemplo. Representada por Charles Xavier en esas atribuciones que siempre se quiere arrogar el profesor y que a mi, muchas veces, me parecen bastante cínicas. Y si le preguntáis a Mística aquí (entre otros sitios), seguro que opina lo mismo que yo.
Pero hombre, ya que te pones, qué menos que considerar la seguridad del proyecto en su conjunto, ¿no?
Yo no sé, (o si lo sé no lo digo bien para no hacer spoilers, o bien para que me encaje la frikada en el post), si Forja y Charles han hecho un análisis de la situación, pero en esa conversación que comento, veo un poco de improvisación. Que si necesito una fuente de energía ilimitada por aquí, que si redundancia por allí, que si el sistema de rotación de copias de seguridad será este otro. De hecho, está explicado el sistema de copias de seguridad en el cómic (el cómic lo mola todo y el sistema de backups incluye copias incrementales y completas).
Y mi sentido arácnido se pone un poco de punta. No veo que aquí Charles y Forja se hayan sentado a hacer una Plan Director de Seguridad. Un «algo» coordinado para tener en cuenta criterios de la organización Mutante en materia de seguridad y la protección de su principal activo, Cerebro. No veo ninguna línea de actuación, ni plan predefinido sobre las medidas de seguridad que la organización Mutante tiene que implantar.
Y, yo no sé si hay normas ISO en el mundo mutante, posiblemente no porque teniendo a Magneto quién quiere una ISO, pero deberían basarse en alguna línea de buenas prácticas, como las de la ISO 27000, (o el ENS de la nación mutante) para definir requisitos de seguridad. Porque estamos hablando de Cerebro y de que va a almacenar información francamente muy muy sensible. Y hasta cinco copias de seguridad de esa información muy muy sensible, así que vamos a centrarnos:
- Un Plan Director de Seguridad con alcance a Cerebro y sus copias de seguridad.
- Nombra responsables de seguridad y responsables de la información. (Gente fiable y competente, tipo Tormenta. Evita a Logan.
- Analiza qué medidas tiene implantadas ahora mismo Cerebro y establece qué objetivos de seguridad tienes que cumplir para garantizar su seguridad.
- Analiza riesgos y amenazas.
- Qué medidas de seguridad tienes ya para reducir esos riesgos y las amenazas.
- Qué riesgos siguen existiendo a pesar de esas medidas y qué nuevas medidas hay que establecer.
- Ejecuta el plan.
- Y revisa que las medidas funcionan, que estamos hablando de Cerebro.
En definitiva, voy a dejar aquí una idea muy simple y fundamental: es necesario abordar el proyecto de la seguridad de los activos de una organización desde su planificación. La finalidad es prevenir amenazas e incidentes sobre esos activos. En el momento que se improvisa, podemos encontrarnos con un serio problema.
