19 noviembre 2008

Priorizar controles de seguridad

A veces, aquello que nos parece más obvio es precisamente en lo que hace falta incidir. Al menos, a mí en ocasiones me ocurre que tiendo a presuponer unos ciertos conceptos de partida que utilizo para mis exposiciones, y más de una vez he caído en la cuenta de que los problemas de la audiencia son precisamente que no poseen esos conceptos, o que no los han entendido correctamente.

Uno de los casos más repetidos, y no sólo entre los profanos en materia de seguridad, es el de tratar de encontrar algún tipo de criterio estándar para priorizar unos controles sobre otros. Evidentemente, la ISO 27002 (antigua ISO 17799, guía de buenas prácticas en seguridad también conocida como catálogo de controles) tiene un listado extenso de controles de seguridad, y encontrar algún criterio (o alguna guía o ranking, a poder ser) para priorizar unos sobre otros sería una magnífica ayuda. ¿Cuál es el problema?

El problema es que cualquier guía estandarizada va a ser incorrecta. Es completamente imposible dar una respuesta universal a qué controles son más importantes que otros. Es cierto que el sentido común nos puede ayudar a encontrar algunos controles "prioritarios" desde un punto de vista genérico, y la propia ISO 27001 exige una serie de cumplimientos cuya traducción a controles de la ISO 27002 nos puede ayudar a encontrar un subconjunto de controles "preferentes", pero... Un ranking estándar? Imposible.

La razón es muy sencilla. El criterio para priorizar controles de seguridad debe ser el resultado del análisis de riesgos. Será en base a las principales carencias identificadas en materia de seguridad como tendremos que identificar aquellos controles que son prioritarios, ya que serán los que mitiguen los mayores riesgos identificados. Y lamentablemente los análisis de riesgos son distintos en cada organización, ya que los requerimientos y necesidades de seguridad varían enormemente. Por lo tanto, nunca encontraremos una regla general para priorizar los controles, ya que el criterio de priorización varía con cada organización.

Evidentemente, el resultado del análisis de riesgos no es el único criterio a aplicar. Para mitigar un riesgo concreto puede haber más de un control a aplicar. ¿Se puede en este caso usar una regla genérica de priorización? Pues me temo que tampoco, ya que tendremos que tener en cuenta la eficiencia y la eficacia de cada uno de ellos (o, dicho de otra forma, el coste y la disminución de riesgos que produce cada uno de ellos). De nuevo cada organización es quien va a determinar cuánto necesita reducir su riesgo y cuánta inversión está dispuesta a realizar para ello. Es más, un mismo riesgo puede ser mitigado por distintos controles que actúan en distintos ámbitos, y por lo tanto será cada organización quien decida en cuál de esos ámbitos prefiere actuar. Y eso por no hablar de que cada control puede ser implementado de múltiples formas (las que propone la ISO 27002 y muchas otras más), y que por lo tanto la eficiencia y eficacia de cada uno va a depender también del método de implementación que elijamos...

En definitiva, no podemos decir que exista ninguna regla general para priorizar unos controles sobre otros. Tiene que ser cada organización quien seleccione los que más le convienen, llegando a un compromiso final entre riesgo resultante e inversión requerida. Y más allá de la pura lógica sólo nos encontraremos con propuestas más o menos orientadas que lo único que nos garantizan es simplificar y reducir el trabajo de gestión de riesgos a costa de perder efectividad en nuestra gestión de riesgos. Y no querremos descubrir, después de haber hecho un determinado gasto en seguridad, que no hemos sido capaces de mitigar nuestros riesgos, verdad?

4 comentarios:

Javier Cao Avellaneda dijo...

El análisis de riesgos es una de las fuentes de priorización de controles. El cumplimiento legal y los objetivos de la propia organización son otras posibles vías para tener claro el orden de aplicación de los controles. Coincido plenamente contigo en que es cada organización quien tiene que tener definido qué quiere y a dónde quiere llegar. Sin embargo, mi sensación es que el cliente tampoco lo tiene claro y es entonces cuando la gestión se hace muy complicada. Por más que nos queramos poner en el pellejo del cliente, no somos ellos y podemos perder algún detalle importante para su modelo de negocio. ¡En la consultoría nos piden hasta que definamos los objetivos del SGSI!.
Yo creo que la única regla aplicable es el "principio de proporcionalidad", o sea, tanto te preocupa, tanto te tienes que proteger. Es algo básico que todo el mundo entiende. Si tienes riesgos muy altos frente a fuego, las medidas de seguridad deben estar en un nivel de madurez muy alto porque no puedes permitir que fallen.
Luego tenemos la problemática de la certificación, ¿Cuántos controles se consideran suficientes para superar una auditoría de certificación? Supuestamente los necesarios para gestionar tus riesgos, pero ahí nos encontramos también con diferentes criterios de las entidades de certificación.

Mariano del Río dijo...

Es muy cierto lo que indicas, muchas veces desde la consultoría o el asesoramiento interno presuponemos conocimientos y criterios que no son tales, generando que el mensaje que queremos transmitir no sea tan claro.
Las fórmulas mágicas o recetas no funcionan, eso ya debemos tenerlo claro, dado que como bien indicas cada organización es un mundo diferente con sus riesgos y controles posibles.
Lo ideal sería que nos acerquemos a nuestros clientes, hablemos su idioma, entendamos como piensan, y recien ahí aportemos alternativas que les sirvan para gestionar el riesgo en forma aceptable (para ellos). Los estándares y buenas prácticas son herramientas muy útiles, pero como toda herramienta hay que saber utilizarla y por sobre todo, hay saber como y donde aplicarlas.
Felicitaciones por el post.

Matías Silvero dijo...

Es cierto, para definir controles nada mejor que la tradicional receta"un buen Análisis de Riesgo", o como dice Javier cumplir con los requerimientos legales. Particularmente pienso que existen controles que son ineludibles y que en determinadas situaciones no pueden esperar el resultado de un análisis de riesgo, obviamente estaríamos remando contra la corriente pero quién en su sano juicio no tendría hoy un Antivirus, AntiSPAM / Antimalware, algún mecanismo de Backup, ACLs básicas, entre otros controles dentro de un ambiente de producción.
Si no entendí mal (ya que nunca tuve el placer de presenciar una certificación ISO), para certificar por ejemplo ISO 27002: No debe cumplirse con ciertos controles en particular?, si es así ya tendríamos otro parámetro por el cual priorizar. O basta con cierta cantidad de controles para certificar?
Como siempre excelente el post y los comentarios.
Saludos

Joseba Enjuto dijo...

Buenas tardes,

Voy poco a poco. Efectivamente, a veces a los consultores les piden demasiado. En resumidas cuentas, hay organizaciones que piden que piensen (y decidan) por ellos, y eso es algo a lo que creo que no se debe llegar. Por eso creo que es importante la concienciación, y capacitar a esas organizaciones para que piensen por ellas mismas, sin dar por sentado ningún conocimiento por básico que nos parezca.

El principio de proporcionalidad me parece adecuado, aunque hay veces que toca encontrarse con percepciones de la realidad bastante... personales (por no decir irreales). Y el trabajo en estos casos es realmente duro...

Efectivamente, de facto hay controles ineludibles. Algunos porque son obligatorios por ley, y otros porque su ausencia es injustificable. En cuanto a las certificaciones, la norma es tan sencilla como "justifica la no aplicación o no necesidad de aplicar los controles que deseches". Ahora bien, ¿Hasta qué punto es válida una determinada justificación? Esa es la clave. ¿Son igualmente válidas justificaciones como "no tengo suficiente dinero", "creo que no es necesario para mi negocio" o sencillamente "prefiero no implementar este control porque no considero rentable su aplicación"? Al fin y al cabo, cualquier cosa se puede justificar, pero no todas las justificaciones son igualmente defendibles... Es un tema que da para un post específico, así que me lo apunto en el "debe".