El Security Engineering de Ross Anderson es con toda probabilidad el mejor libro sobre seguridad que he leido hasta la fecha.
A diferencia de otras obras que adoptan un punto de vista meramente tecnológico, Anderson prefiere centrarse en el plano conceptual estableciendo los distintos principios que deben guiar a un ingeniero de seguridad en las diferentes disciplinas de su actividad. Por eso no habla de ninguna marca específica de cortafuegos ni de ningún lenguaje de programación o sistema operativo concreto, sino de los errores y aciertos de diseño que se han dado a lo largo de la historia de las tecnologías de la información y las comunicaciones. Esto resulta tremendamente enriquecedor ya que la publicidad de los fabricantes de herramientas de seguridad mantiene vivo el mito de que basta con invertir ingentes cantidades de dinero en la última tecnología para asegurar de manera efectiva los activos. Sin embargo Anderson insiste en que la tecnología es una mera herramienta al servicio de un análisis y planificación adecuados, frutos de una mentalidad basada en principios globales e independientes del estado del arte tecnológico del momento.
A lo largo de la obra se analizan estos principios, aplicados a las distintas áreas de la seguridad y se van contrastando con casos históricos. Así, se cubren temas tan dispares e interesantes como la psicología, la usabilidad, la criptografía, las políticas de control de acceso a la información, el impacto de los factores económicos en la seguridad, los controles de integridad, la seguridad en entornos multilaterales (aquellos en los que se comparten activos con otras organizaciones), la propiedad intelectual o el terrorismo, entre un largo etcetera.
La larga experiencia del autor ilustra el libro de interesantísimos ejemplos y aportes históricos tanto del mundo de la banca, como del militar y del espionaje (que son, al fin y al cabo los grandes impulsores históricos del mundo de la seguridad). Entre estos ejemplos se describen desde la evolución de los sistemas IFF (Identify-Friend-or-Foe), a las organizaciones de las redes de mando y control militar; desde los sistemas de control del armado de los misiles nucleares a lo largo de la historia, hasta los avances en las investigaciones para espiar aparatos electrónicos en función de sus emisiones electromagnéticas.
Además, la vida útil del libro es muy larga, dada la vigencia a través del tiempo de las materias que trata, por lo que no es de esos libros de seguridad que a los dos años se han quedado tan antiguos que acaban en la papelera.
Todo ello hace de Security Engineering un libro imprescindible para cualquier ingeniero de seguridad y una inversión que realmente merece hasta el último céntimo de lo que vale.
