13 septiembre 2010

Cuestion de confianza

A estas alturas seguro que nadie se sorprenderá de oir decir que un análisis de riesgos es subjetivo. Sin embargo, a veces pienso que somos demasiado superficiales al dejar la reflexión en ese punto. ¿Cuáles son las causas de esa subjetividad? ¿Podemos hacer algo para combatirla? Y si no es así... ¿Tenemos capacidad, al menos, para concretar esa subjetividad y "asumir los riesgos" derivados de ella?

Uno de los factores de esa subjetividad es, sencillamente, la necesidad de hacer estimaciones. Normalmente carecemos de datos estadísticos que nos permitan cuantificar objetivamente la probabilidad de ocurrencia de las amenazas, así que acabamos estimando su valor. ¿Y de qué depende esa estimación? En general suele depender del optimismo o pesimismo de quien valora, pero también (y en gran medida) de sus experiencias pasadas. Todos aquellos que hayan tenido que desinfectar su parque informático o que hayan sufrido en carne propia la inundación del CPD seguro que son más propensos a "sobrevalorar" estasa amenazas que quienes no hayan tenido que afrontarlas nunca...

No obstante, en el factor en el que me quería centrar hoy es en el referente a los riesgos derivados de los administradores de sistemas. Muchas veces suele ser un tema tabú, sobre todo dentro del sector, pero la realidad es que hay más de un responsable de negocio que está preocupado por la "omnipotencia" de sus administradores de sistemas. Y la realidad, al menos la de hace un año, nos dice que los riesgos de los usuarios privilegiados no se gestionan bien, incluso en organizaciones que cuentan con un SGSI, de modo que los miedos de los responsables de negocio parecen estar justificados, al menos en parte...

Valorar la probabilidad de materialización de un abuso de privilegios por parte de los administradores de sistemas no es nada gratificante. En resumidas cuentas estás valorando cómo de malas son las intenciones de un compañero de trabajo, que en función del tamaño de la empresa puede tener cara, nombre y hasta familia, y la verdad es que dejar a un lado las relaciones personales puede ser una tarea imposible. Pero por otro lado, es realmente necesario hacerlo?

Visto desde otro punto de vista, lo que estamos valorando es el nivel de confianza que la organización puede depositar en los administradores de sistemas. Desde un punto de vista "práctico", cuanto más confiemos en ellos menores serán las precauciones a adoptar, lo que es lo mismo que aplicar menos controles debido a que el resultado del análisis de riesgos ha dado valores bajos porque la probabilidad de ocurrencia de esta amenaza es baja. Obviamente la confianza es subjetiva, pero... de qué depende? Aunque en esta valoración intervienen muchos factores, podemos pensar que ese nivel depende tanto del grado de competencia de la persona en cuestión como, sobre todo, del nivel de satisfacción que ese administrador de sistemas tiene en relación a su trabajo. Traduciendo a términos corporativos ambos factores, en el primer caso tendríamos la política de formación y capacitación de la compañía y en el segundo un compendio de política retributiva, conciliación, gestión de expectativas... En resumidas cuentas, todas las actividades que se suelen asociar a una moderna gestión de personas (o departamento de RR.HH. en los casos más habituales, me temo). A la hora de la verdad, los mecanismos "clásicos" de gestión empresarial siempre están ahí...

En definitiva, no sólo estamos ante un factor subjetivo, sino que en este caso dicha subjetividad es necesaria, ya que en función de las personas implicadas y de su situación "personal" concreta la valoración de los riesgos asociados a ellas debería cambiar. El nivel de confianza que la organización deposita en las personas es variable, y lo más importante es que la propia organización dispone de las herramientas necesarias para modificar los principales parámetros que condicionan dicha confianza. Dicho de otro modo, la gestión del riesgo asociado a las personas no sólo depende de la aplicación de los controles "formales" que define la ISO 27001, sino que la primera medida de gestión del riesgo que deberíamos aplicar es, sencillamente, la "inteligencia emocional" corporativa (concepto que, si no existe, me acabo de inventar con gran satisfacción). Ahora bien... esto, que parece una perogrullada, cuántas empresas lo aplican?

2 comentarios:

Javier Cao Avellaneda dijo...

Tema complicado de gestionar sobre todo en auditorías donde tienes que tratar precisamente con las personas que tienen estos usuarios privilegiados.

Este tipo de situaciones deben intentar resolverse con controles compensatorios que disuadan o al menos, registren los eventos extraños. Es muy común encontrarte en los perfiles de usuarios privilegiados que el login es genérico y compartido (Ya sea administrador o root) porque son las cuentas de trabajo de este tipo de personas. En cualquier caso, al menos estos usuarios debieran proporcionar logs que también puedan ser revisados por terceros. Es el eterno dilema de quién vigila al policía y hasta qué nivel llevamos la prevención frente a usuarios malintencionados

Joseba Enjuto dijo...

Siempre podemos crear un departamento de "asuntos internos"... Y muchas plataformas SIEM facilitan ese trabajo, siempre que los administre alguien independiente del equipo de administradores. Al final, la idea es consolidar los logs de administración en equipos gestionados por personal distinto, en muchos casos del área de seguridad y/o auditoría, haciendo uso del famoso principio de separación de funciones para que no haya nadie omnipotente, que al final es el riesgo que tenemos que gestionar.