14 junio 2011

Ya no basta con ser como la mujer del césar

Seguro que todos hemos oído que en seguridad, como la mujer del césar, no sólo basta con ser honrado, también hay que parecerlo. Unas buenas medidas de seguridad no sólo tienen que ser eficaces, sino que tienen que parecerlo. El efecto disuasorio de la apariencia de seguridad no es en absoluto despreciable, y de hecho es una medida preventiva bastante eficiente. Y si no, que se lo pregunten a los instaladores de alarmas (que siempre colocan el cartel de "alarma conectada") o a los que colocan cámaras de seguridad "falsas".

La discusión entre cuál de los dos factores es más importante (y por tanto, cuál primar) tampoco es trivial, aunque el análisis es fácil de entender. La apariencia de seguridad es una medida de seguridad preventiva, que reduce la probabilidad de ocurrencia de un ataque (no de cualquier incidente, sólo de los malintencionados). Por contra, la seguridad eficaz pero no aparente puede ser una medida de seguridad preventiva, detectiva o reactiva, en función de lo cual va a reducir la probabilidad de ocurrencia del incidente en el primer caso o el impacto del mismo (directamente en el caso reactivo e indirectamente en el detectivo)en los restantes. Por tanto, primar uno u otro dependerá sencillamente de nuestro análisis de riesgos y de qué tipo de amenazas queramos mitigar.

Sin embargo, a día de hoy creo que no basta con tener en cuenta estos dos factores. Hay un tercer factor que cada día cobra más importancia a la hora de valorar una medida de seguridad: la fiabilidad de sus resultados. Es un factor que no es nuevo (que se lo pregunten a los fabricantes de IDS y los problemas causados por falsos positivos/negativos), pero que cada día cobra más importancia. La confiabilidad de las medidas de seguridad está relacionada con su sostenibilidad, y busca la certeza de que los resultados ofrecidos se puedan garantizar a lo largo del tiempo. De poco vale un buen control de accesos si no somos capaces de controlar los cambios que realizamos en su configuración, de forma que a la hora de la verdad no podamos asegurar si durante un ataque funcionó como queríamos que lo hubiera hecho.

El problema es que, a día de hoy, la mayor parte de los sistemas de seguridad (físicos, lógicos, o del tipo que sean) no están preparados para garantizar su fiabilidad a lo largo del tiempo. ¿Cuántos armarios son capaces de identificar unívocamente cada llave de acceso? ¿Cuántos firewalls son capaces de guardar la trazabilidad completa de los cambios de configuración sufridos? ¿Cuántos sistemas de ficheros están preparados para realizar auditorías periódicas de su contenido? Si alguien pone en duda la fiabilidad de las medidas de seguridad que tenemos dispuestas... ¿Estamos preparados para contestar?

3 comentarios:

Javier Cao Avellaneda dijo...

Buena reflexión imagino que motivada por las continuas noticas de hackeo de sistemas de las últimas semanas. Yo siempre he pensado que todos los esfuerzos de seguridad deben tener un único objetivo: poder dormir tranquilo pensando que se tienen indicios o evidencias suficientes como para demostrar que al menos estaba todo lo identificado como riesgo como supervisado y controlado. Sabemos que el 100% no existe pero al menos si poder demostrar una gestión eficiente de las inversiones frente a los problemas.
Las preguntas que dejas en el aire pensando en la figura del Responsable de Seguridad... son a su vez la respuesta a las que debieran hacer los directivos de las empresas respecto a la gran cuestión, ¿Podemos dormir tranquilos todos?

plan de recuperacion de desastres informaticos dijo...

Una reflexión muy interesante. Para estar preparados ante una amenaza de seguridad informática, es fundamental contar con una buena estrategia de Recuperación de Desastres. Saludos.

Joseba Enjuto dijo...

Mi objetivo es empezar a dejar atrás el concepto "clásico" de seguridad = integridad + confidencialidad + disponibilidad. Creo que la realidad cada día nos deja más muestras de que las 2 "nuevas" dimensiones de la seguridad (autenticidad y trazabilidad) que "introdujeron" los redactores del ENS son cada vez más necesarias... y hay que empezar a abordarlas más abiertamente.