¿Por qué el despido de Bob Maley es malo para todos nosotros?

La noticia de que el CISO (chief information security officer) de Pennsylvania, Bob Maley, perdió su trabajo por discutir públicamente un incidente de seguridad en conferencia RSA la semana pasada realmente no debería ser una sorpresa, pero lo es. Incluso para una agencia del gobierno, este tipo de falta de comprensión sobre lo que realmente importa es terrible y es un ejemplo evidente del secretismo  que está infectado en exceso e la comunidad de seguridad. 

Maley fue el CISO de Pennsylvania durante cuatro años, e inicio el programa de seguridad de información del estado desde cero, cuando obtuvo el trabajo. Trajo a docenas de agencias estatales y miles de empleados al siglo 21 con un gran proyecto para instalar la prevención de intrusos e identidad, y el sistema de gestión de accesos. Cuando llegó a Pennsylvania, ni siquiera tienen una imagen del sistema operativo de escritorio estandarizado. Y esta es una red que  presenciaba más de mil millones de eventos de seguridad mensuales en 2007. 

Como resultado de su éxito en la transformación de la infraestructura del estado, Maley se convirtió en un codiciado orador y siempre está rodeado de entrevistas, un hecho que llevó directamente a su despido. En RSA, Maley estaba en un panel que discutió los problemas de seguridad que enfrentan los gobiernos estatales. Durante la sesión se habló de un reciente incidente en que el propietario de una escuela de conducción en Pennsylvania supuestamente había descubierto una forma de burlar el sistema de exámenes del estado para hacer que sus estudiantes destacaran por encima de los demás. 

Eso es todo. 

Maley no dio detalles explícitos sobre el problema y ni siquiera realmente lo describen como un problema de seguridad, según informes de prensa. Él simplemente lo citó como un ejemplo de los temas que tiene que ocuparse todos los días. Y como resultado ya no tiene su puesto de trabajo porque, como Jaikumar Vijayan informa en Computerworld, Pennsylvania tiene una política que exige a sus empleados a obtener el permiso explícito para discutir públicamente los asuntos del Estado. 

Desde ese punto de vista es una política sensata. Nadie quiere que personas no autorizadas divulguen información a los medios de comunicación. Pero por otro lado,es un gobierno estatal, y los negocios del gobierno, son los negocios de las personas. Esto no es información clasificada, y yo diría que ni siquiera información sensible, es simplemente la evidencia de que alguien en la organización de TI Pennsylvania configuro inadecuadamente una aplicación Web. 

Y ese es el verdadero problema aquí. El despido de Maley (o la renuncia bajo presión) no es sólo un incidente aislado. Es emblemático , en particular de un tipo de visión que padecen los ejecutivos, burócratas y otros agentes con poder durante mucho tiempo. 

El tipo de secreto reflexivo que los burócratas de Pensilvania practicaron al tratar un simple error en el sistema de evaluación de conductores, de todas las cosas, es exactamente lo que ha sido la prevención de profesionales de la seguridad para el intercambio de información desde hace décadas. Dios no quiera que la gente hable de un ataque o un error que hizo, porque entonces podemos sospechar que no son perfectos. 

Por supuesto, como cualquier modelo de cinco años  puede decir, nadie es perfecto. Y una de las formas más eficaces que tienen la personas para aprender es observar y escuchar a las personas que han pasado por las mismas experiencias y averiguar qué funcionó y qué no lo hizo. Los niños entienden instintivamente, es cómo aprender a usar un tenedor, caminar, amarrarse los zapatos y esconder sus verduras bajo su puré de papas. 

Pero de alguna manera el sentido común que acerca a las mejoras desaparece con el tiempo y nos encontramos con la situación absurda en la que estamos ahora, donde compartir la información más banal, no sólo es mal visto,  también es una forma de limitar el desarrollo profesional. Así vamos a continuar en el mismo círculo vicioso en que hemos estado siempre: construir, (o tratar de), asegurar, vulnerar, negar.

Limpiar, enjuagar, repetir.