Cada vez es más frecuente encontrar reportes, artículos y discusiones en los que se cuestionan algunos de los conceptos fundamentales que por años hemos defendido como los pilares de la seguridad informática (defensa en profundidad, administración de vulnerabilidades, correlación de información, desarrollo de programas de concientización o apego a mejores prácticas, entre otros).

Una y otra vez me encuentro con opiniones y estudios que hablan de los pésimos resultados que se obtienen al confiar la seguridad de la información en los conceptos arriba citados: tiempo y dinero desperdiciado, mejora casi imperceptible de la posición de seguridad, intrusiones no detectadas, información sensible comprometida y un largo etcétera.

¿Acaso hemos perdido la guerra y no vale la pena gastar en controles de seguridad? De repente pareciera que sí, pero yo creo que la cuestión es mucho más compleja y nunca hay que olvidar que la seguridad informática no es un proyecto, es un proceso y, como tal, debe adecuarse constantemente a los requerimientos internos y a la evolución del mundo.

¿Qué hacer entonces? Buscar la respuesta amerita, sin duda, un largo artículo al respecto. Pero por ahora me enfocaré en tres recomendaciones básicas:

  • Adaptarse al cambio y buscar mejores paradigmas.
  • Pensar en los riesgos antes que ir directo a revisar las “amenazas”.
  • Tener una estrategia gradual que vaya de lo básico a lo avanzado.

 .

Adaptarse al cambio y buscar mejores paradigmas

Recuerde que no hay fórmulas mágicas ni verdades absolutas, la evolución natural del eterno enfrentamiento entre las amenazas y los controles de seguridad modifica constantemente el ambiente. Así como los castillos medievales fueron casi inexpugnables hasta la aparición de la artillería, nuestras contramedidas no serán efectivas eternamente, por buenas que sean (en ediciones anteriores de Magazcitum, David Gutiérrez[1], Julio Angel Ayala[2]  y Ulises Castillo[3] han abordado este tema).

.

Pensar en los riesgos antes que en las amenazas

Olvídese del camino fácil de pensar en las amenazas que existen “allá afuera” y poner controles de seguridad para contrarrestarlas, sin ahondar en las vulnerabilidades e impactos específicos en su negocio. Casi siempre se trata de una idea muy mala que termina en la implantación de controles caros, poco eficientes o ambas cosas a la vez. Es mejor empezar con un análisis de riesgos y a partir de ello definir qué controles se requieren, sin tomar a priori como regla lo que otros hacen. En otras palabras, defina bien qué debe proteger, qué riesgos existen y a partir de ello establezca los mejores controles para USTED.

.

Tener una estrategia gradual que vaya de lo básico a lo avanzado

Aunque parezca una verdad de Perogrullo, constantemente veo estrategias de seguridad que olvidan este enfoque.

¿Por qué construir un edificio sobre cimientos endebles? ¿Para qué diseñar un castillo con muros de 25 metros de alto y 3 de ancho, pero no colocar el portón de la entrada principal? Pareciera que nadie lo haría, pero lo cierto es que ese comportamiento es más frecuente de lo que uno cree y para muestra basta un botón: de acuerdo al reporte “Data Breach Investigations Report”[4] emitido por Verizon Business en 2011, se encontró que en 63% de los casos, los controles para evitar un incidente de seguridad eran simples y baratos.

Así pues, si no ha logrado que sus usuarios dejen de tener sus contraseñas en papelitos pegados al monitor, olvídese de, por ejemplo, gastar cientos de miles de dólares en complejos sistemas SIEM (Security Information and Event Management), enfóquese primero en lo básico.

En resumen, al igual que muchas otras cosas en la vida, la guerra por la seguridad de la información es algo que nunca acabará, a menos que los mundos imaginados por George Orwell, Aldous Huxley y otros, se hagan realidad. Pero no siempre se requieren complejos y costosos sistemas para mantener a raya a los malos; en muchas ocasiones basta con un poco de sentido común para poder ganar la mayoría de las batallas, pensando siempre al mismo tiempo cómo estar preparados para recuperarnos cuando lleguemos a perder alguna batalla.

.

[email protected]

.

 

[1] Métricas de seguridad (http://www.magazcitum.com.mx/?p=1528)

[2] ¿Y si lo hacemos diferente? (http://www.magazcitum.com.mx/?p=2153)

[3] Deje de comprar tecnología de seguridad (http://www.magazcitum.com.mx/?p=2058)