En los últimos meses hemos tenido dos incidentes de seguridad emblemáticos: la intrusión  y sustracción de información de la PlayStation Network de Sony, y la caída de  los servicios de nube EC2 de Amazon. En el primero se rumora que el fabricante  de electrónica de consumo no tenía cubiertas cuestiones básicas de seguridad  como firewalls y software actualizado (1), y si bien no es un hecho irrefutable, Sony no ha aclarado con la suficiente contundencia  si contaba o no con estas medidas elementales. En el caso de Amazon, la falla  fue originada por un cambio de rutina operado erróneamente (2). En ambos, el  impacto en imagen y pérdidas monetarias están aún por conocerse, pero se puede  adelantar que no van a ser pequeñas, y parece que un poco de prevención les  hubiera evitado mucha pena pero, ¿cuánta prevención hubiera sido suficiente?

Como  cada año, en este 2011 Verizon Business emite su reporte “Data Breach Investigations Report” (3), y la conclusión no deja dudas; reproduzco una pequeña selección como muestra: “Pero seamos realistas,  como colectivo ¿creen que estamos logrando que a los atacantes les cueste  trabajo adaptarse? Año tras año nuestros reportes sugieren que no lo estamos  consiguiendo, y eso es algo que necesita cambiar. Si se adaptan, se adaptan, c’est la vie, pero no dejemos que sigan teniendo éxito gracias a nuestra pasividad”.

En  la misma página del reporte aparece una gráfica como para dejar helado a  cualquiera, se titula “Costo de las medidas preventivas recomendadas por porcentaje de incidentes”. Tomando en cuenta que se trata solo de los casos que el equipo de Verizon procesó, los datos que presenta son los siguientes: en 4% de los casos, los controles recomendados para prevenir el incidente eran caros y difíciles de implementar, en 33% los controles tenían costo y dificultad media, y en 63% de los casos los controles eran simples y baratos.

Mientras, las discusiones sobre métricas de seguridad giran en torno a temas diversos como el retorno de la inversión, el riesgo informático, la visibilidad en el valor de la seguridad, y una colección de herramientas para presentar todos estos indicadores de una forma visualmente atractiva.

Como dijera el clásico personaje de serie policiaca en la corte: “No más preguntas”.

Señoras y señores, no busquemos más lejos. Está clarísimo que las métricas de seguridad que necesitamos con urgencia tienen que ver con la correcta aplicación de los controles básicos y elementales de seguridad, ahí está nuestro proverbial talón de Aquiles ¿Quiere medir y saber qué tan seguro está?, sencillo:

  1. Revise si hay un presupuesto para seguridad.
  2. Supervise si el presupuesto se está ejerciendo.
  3. Verifique si la arquitectura de sus sistemas de seguridad cubre los puntos neurálgicos de la organización y las obligaciones
    regulatorias a las que está sujeta su empresa. Como regla general mínima, revise todos los puntos de contacto entre redes que usted controla y redes que no controla; si tiene dudas, consulte a un profesional externo.
  4. Mantenga supervisión sobre el cierre de las brechas que haya entre la arquitectura que necesita y la arquitectura con la que
    cuenta.
  5. Revise y supervise si su infraestructura de seguridad se encuentra activa y correctamente administrada. Si tiene dudas, asesórese con un profesional externo.

Si puede mantener estos indicadores en niveles satisfactorios, le habrá sacado ventaja a 63% de los clientes de Verizon Business que tuvieron un incidente de seguridad y, a partir de ahí, bienvenidas las discusiones sobre retorno de inversión,  riesgo informático y las herramientas para presentar visualmente los indicadores; antes, no lo creo.

[email protected]

(1)   http://republicans.energycommerce.house.gov/Media/file/Hearings/CTCP/050411/Spafford.pdf

(2)   http://aws.amazon.com/message/65648/

(3)   http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf