22 marzo 2007

Amenazas reales

Ayer la versión española de The Inquirer nos "obsequiaba" con esta noticia. Un error de un técnico de sistemas provoca una pérdida de datos valorada en 38000 millones de dólares. Sin duda alguna, un incidente de seguridad de impacto muy alto. ¿Qué conclusiones podemos sacar si analizamos el hecho?

El artículo afirma que un técnico borró una determinada información por error. Es una de las amenazas estándar de cualquier guía: errores en la administración de sistemas. Estaba bien gestionado el riesgo asociado a ella?

El valor de la información es, por lo que parece, muy alto. ¿Cuál es la probabilidad de ocurrencia de la amenaza? A priori debería ser baja... con un técnico "estándar". Pero en este caso es un técnico que no sólo ha borrado la información por error, sino que ha terminado formateando el disco en el que residía la copia de seguridad. En caso de que hubiera sido un técnico suficientemente capacitado, no parece viable este resultado. Por tanto, tenemos que suponer que aparenta ser un técnico de bajo nivel de cualificación. Por tanto, la probabilidad debería ser media o alta.

¿Cuál es la vulnerabilidad de los datos frente a la amenaza? ¿Cuáles son las protecciones existentes? En principio, había 3 copias de la información: la original, la copia de seguridad y las cintas de backup. Por lo tanto, la vulnerabilidad parece baja. Con lo cual, el resultado final parece llevarnos a que el nivel de riesgo en este caso sería de nivel bajo, usando una escala de 5 valores y calculando el nivel de riesgo como valor x amenaza x vulnerabilidad.

La pregunta es: ¿Era necesario tratar ese riesgo con contramedidas adicionales? Es aceptable un nivel de riesgo bajo? Esa es una decisión de empresa, pero en este caso deberíamos asumir que sí (pese a que con activos de tan alto valor económico alguien pudiese pensar que sólo debería ser aceptable un nivel de riesgo muy bajo), ya que no tenemos más datos para valorarlo.

Entonces, si asumimos que la gestión del riesgo se ha llevado a cabo de la forma correcta, dónde ha estado el problema? Pues parece que en este caso el gran problema es el tema del que tanto se habla últimamente en este mundillo: la monitorización, medida y seguimiento de los controles establecidos. Y en este caso, llevados a una contramedida muy concreta: verificar los backups. Esa operación que tantas veces se suele obviar, y que los consultores no nos cansamos de repetir cuando hablamos de backups y continuidad...

De todos modos, el resultado podría haber sido peor. En este caso, el plan de contingencias ha surtido efecto: aunque haya habido que invertir 220000 dólares en ponerlo en práctica, la copia en papel ha permitido no perder definitivamente la información, que ha vuelto a ser introducida en los sistemas. De todos modos, en casos como estos es donde se aprecia realmente el valor de contramedidas más sencillas, como puede ser la de dar suficiente formación a los técnicos o la de contratar a técnicos de mayor perfil de cualificación.

5 comentarios:

Antonio Valle dijo...

Dos comentarios, Joseba:

1.- A mi me parece que la valoracion de 38.000 millones de dolares se hizo *despues* de la perdida de la informacion, y no antes. De haberla hecho antes hubieran (seguro!) puesto mas medios y controles y, por supuesto, hubieran tenido mas de una copia de seguridad y/o mas cintas verificadas.

2.- Lo que no tiene desperdicio son los comentarios en la noticia que anexas.

Saludos!
Antonio

deincognito dijo...

Joseba,

Veo que mezclas vulnerabilidad y probabilidad. Soy bastante escéptico con las metodologías (como ya sabes por otros comentarios trato de ser más práctico), pero creo que en MAGERIT II se dio un buen paso cuando se eliminó el concepto de vulnerabilidad. Con valor (suele ser difícil contar con él), probabilidad e impacto ya tenemos suficientes factores, el trabajo se racionaliza y se evitan las confusiones probabilidad-vulnerabilidad.

Por otra parte, totalmente de acuerdo en lo de las pruebas de integridad de las copias de seguridad. No se estila en absoluto. Por lo que ya había leído sobre el caso, no es que se estuviese duplicando la información en el trabajo diario, sino que se estaba digitalizando la información existente en papel, cosa que habían decidido para tratar de forma más eficiente la información. Lo que han perdido es lo que les ha costado digitalizar la información más lo que les va a costar duplicar el trabajo.

Un saludo

Joseba Enjuto dijo...

Estoy de acuerdo en que probablemente el cálculo económico lo hayan hecho "a posteriori". De todos modos, para alcanzar ese coste, seguro que el valor "a priori" también era elevado...

En cuanto a las metodologías, utilizo la base de AS/NZS 4360 para ilustrar el artículo, que utiliza los conceptos de amenaza (probabilidad) y vulnerabilidad (exposición). Es cierto que Magerit II no usa este último concepto de forma explícita, aunque sí que lo maneja a la hora de valorar las contramedidas (bueno, en realidad usa el concepto complementario). E incluso es posible que el término vuelva a aparecer en versiones futuras de la herramienta PILAR/EAR. De todos modos, no me parece que sea un concepto tan poco práctico; el problema es conseguir explicarlo bien...

deincognito dijo...

Joseba,

La vulnerabilidad como posible origen de la amenaza y grado de exposición es útil, permite saber por dónde tirar con los controles aplicables,..., pero es un elemento más que considerar tantas veces como activos y como amenazas le puedan afectar que si lo eliminamos nos facilita mucho la vida. En mi opinión basta con probabilidad e impacto y, si es posible, valor, pero lo habitual suele ser contar tan solo con los dos primeros. Al valorar la probabilidad ya estarás contando con el grado de exposición a las amenazas dada una vulnerabilidad concreta.

Desconozco si la vulnerabilidad aparecerá en nuevas versiones de Magerit o PILAR/EAR, pero el ejercicio de racionalidad me parecía acertado (pretende evitar la confusión entre probabilidad y vulnerabilidad)

Lo normal es que del análisis de riesgos se ocupen personas con otras funciones o personas de un departamento de seguridad de la información que cuenta con escasos miembros,... y si a eso le sumamos varias decenas o varios cientos de servidores, múltiples dispositivos de comunicaciones, instalaciones, personas,... y la necesidad de hacer el análisis cada año, pues como que para cuando estás acabando el del año pasado tienes que empezar el nuevo con todos los cambios que haya habido...casi nada. La racionalidad y la agrupación de activos se convierte en fundamental.

Creo que es mejor bajar del mundo de las ideas, teniéndolo en cuenta en la medida de lo posible, para hacer algo que sea práctico y realizable.

Un saludo

Joseba Enjuto dijo...

Entiendo que quieras librarte de la vulnerabilidad. Es un concepto difícil con el que lidiar, y por eso mismo hay otras metodologías que no lo usan (en algún post anterior yo mismo proponía metodologías alternativas, como DREAD).

Lo que me llama la atención es que plantees la posibilidad de realizar análisis de riesgos utilizando sólo los factores de riesgo, sin tener en cuenta el valor. Sin ese parámetro, sabes cuánto riesgo supone una determinada amenaza, pero si no sabes cuánto vale el activo, no entiendo cómo se puede llegar a la conclusión de si hay que reducir ese riesgo o no. Al fin y al cabo, un mismo riesgo para dos activos de distinto valor no tiene por qué ser atajado en ambos... Podrías explicar esto un poco más?