Hace un par de años escribí en esta columna, con no poca dosis de drama, que como industria estábamos siendo autoindulgentes al tener en discusión temas como el  retorno de inversión, metodologías de análisis de riesgos y tableros de control, cuando los incidentes de seguridad de la información se estaban materializando por la falta o ineficacia de controles elementales. En el reporte Data Breach Investigations Report[1] que emitió Verizon Business en 2011 se leía: “¿Ustedes creen que estamos haciendo que ellos (los atacantes) se esfuercen por adaptarse? Año tras año nuestros datos (del reporte) sugieren que no lo estamos haciendo, y eso es algo que necesita cambiar”, y la idea remataba: “Pero dejemos de permitirles que sigan hallando éxito en nuestro estancamiento”, todo esto mientras se terminaba de pintar el cuadro con las frías cifras de “costo de las medidas preventivas recomendadas por porcentaje de incidentes”: en 4% de los casos, los controles recomendados para prevenir el incidente eran caros y difíciles de implementar, en 33% tenían costo y dificultad media, y en 63% eran simples y baratos.

Tratando de establecer una tendencia, revisé las ediciones de 2012[2] y 2013[3] solo para encontrar, otra vez, la frialdad de los números (ver tabla 1).

Costo y dificultad de implementación de los controles de seguridad

2011

2012

2013

Caros y difíciles de implementar.

4%

3%

N/D

Costo y dificultad medios.

33%

31%

N/D

Baratos y simples.

63%

63%

N/D

Desconocidos.

N/D

3%

N/D

Tabla 1

No está muy clara la razón por la cual los datos correspondientes a esta categoría se dejaron de reportar para la edición de 2013, en la cual solo es posible encontrar dos datos que refuerzan la tendencia observada (ver tablas 2 y 3).

Dificultad de la invasión inicial

Total 2013

Muy baja.

10%

Baja.

68%

Moderada.

22%

Alta.

< 1%

Tabla 2

Dificultad de las acciones subsecuentes para invasión

Total 2013

Muy baja.

2%

Baja.

71%

Moderada.

7%

Alta.

21%

Tabla 3

En esencia, la mayoría de incidentes de seguridad no presentó gran dificultad para los atacantes, de lo que podemos deducir que en realidad no hubo mejoras en la presencia y eficacia de controles de seguridad. Puedo entonces aventurarme a formular una hipótesis sobre la razón por la cual los datos de dificultad y costo de los controles desaparecieron de la edición de este año: ¿Cuál es el punto de publicarlos?, los datos de 2012 son esencialmente una copia al carbón de los de 2011, y muy probablemente los de 2013 no serían diferentes, si acaso ligeramente mejores. La dura realidad es que después de mucho revuelo con la seguridad en la nube, nuevas amenazas para dispositivos móviles y otros tantos temas que ocuparon la mente y páginas de la gente especializada en seguridad de la información, continuamos haciendo un trabajo francamente malo como colectivo.

Es cierto que estos resultados poco dicen de las razones por las cuales los controles básicos no han sido implementados o se han implementado de forma ineficaz, es posible que mucha de la responsabilidad recaiga en la alta dirección al tomar decisiones equivocadas en cuanto a la inversión en seguridad de la información pero, entonces, ¿estaremos comunicándonos correctamente con los directivos?, ¿estaremos usando el discurso correcto para convencer?

Tratando de acercar esta información a un contexto más local, me encontré con que no hay una manera fácil de seccionar y visualizar los datos que corresponden con la región latinoamericana, información que nos podría dar una idea más clara de cuánto nos representan estos números; sin embargo, al menos dos países están representados –en mayor o menor medida, eso tampoco está claro- en los resultados: Brasil y México.

Es importante tener en cuenta las nuevas tendencias, amenazas y herramientas para integrarlas en nuestro programa de gestión de incidentes de seguridad, pero espero que los hechos que he presentado en esta columna nos hagan reflexionar sobre la prioridad de revisar los planes para asegurarnos de que están cubriendo de manera eficaz los controles elementales, porque parece que hasta el momento es la estrategia más rentable.

[email protected]