07 abril 2014

No te defiendas. Recupérate

Reconozco que últimamente no me prodigo mucho en el blog. La verdad es que llevo una temporada bastante ocupado... pero hoy quiero compartir con todos vosotros uno de los temas que me están manteniendo ocupado estos últimos tiempos.

Los que leéis el blog habitualmente ya sabréis que llevo bastante tiempo dándole vueltas a la idea de que la seguridad, tal y como se plantea a día de hoy, está condenada al fracaso. A lo largo de la historia hemos levantado muros, portado escudos, instalado firewalls o desplegado antivirus con el fin de protegernos frente a los ataques... sabiendo que, tarde o temprano, nuestras defensas iban a ser inevitablemente vulneradas. Día tras día comprobamos eso de que la seguridad total es imposible... y pese a todo nos seguimos empeñando en tratar de alcanzarla.

Frente a este planteamiento, un poco ilógico si lo pensamos fríamente, quiero abogar por un cambio total de paradigma. Sabemos que los incidentes de seguridad son inevitables. Algunos serán leves, otros más graves, y unos pocos requerirán, por su extrema gravedad, la activación de nuestros planes de contingencias. ¿Y si tomamos esta situación como punto de partida para nuestro planteamiento frente a la seguridad?

La propuesta se resume en el título del post: dejemos de centrar nuestros esfuerzos en evitar lo inevitable, y enfoquémoslos en minimizar su impacto. Asumamos que vamos a tener incidentes de seguridad, y tratemos de garantizar que, pase lo que pase, el daño que provoquen sea mínimo. Orientemos nuestras medidas de seguridad hacia la reducción de la criticidad de los propios activos, en lugar de dedicar recursos a preservarla.

La teoría dice que los incidentes de seguridad pueden afectar a la disponibilidad, a la integridad o a la confidencialidad de nuestros activos. Pero en la práctica esto se reduce a una casuística muy sencilla: podemos perder (porque se paran) nuestros servicios, podemos perder (porque desaparece o porque se corrompe o modifica incorrectamente) la información o se puede difundir (de forma no autorizada) esa información. Si el objetivo es minimizar la gravedad de que eso ocurra, el planteamiento pasaría por:

  • Tener servicios replicados, de forma que la caída de uno no suponga un problema ya que hay un servicio idéntico funcionando. Esto no sería estrictamente tener servicios en alta disponibilidad, sino tener múltiples servicios idénticos. 
  • Que la información sea lo más volátil posible, que tenga "fecha de caducidad". 
  • Que la información sea lo más abierta y pública posible.
No obstante, mi propuesta es ir un paso más allá. No propongo que dejemos de protegernos de los incidentes, sino que los provoquemos intencionadamente. Frecuentemente. Qué pasaría si todas las semanas tiramos nuestros servicios? Si todas las semanas eliminamos nuestra información? Si todas las semanas divulgamos en Internet nuestra información? Cómo actuaríamos? Qué cambiaríamos en nuestra seguridad para lidiar con estas situaciones?

Si nos acostumbramos a gestionar incidentes graves de manera habitual nuestras medidas de seguridad nos garantizarán no sólo que nuestros servicios (y por tanto nuestro negocio) son resilientes, sino que acabaremos centrando nuestros recursos en aquello que realmente es lo importante, y seremos capaz de lidiar de manera tan habitual con este tipo de incidentes que dejarán de ser graves. Siendo menos seguros habremos conseguido ser más seguros. Contrasentido? Un poco. Arriesgado? Por supuesto. Utópico? Puede ser. Pero... Y si funciona?