Tratando de determinar el tema a tratar para este número de nuestra revista, encontré que ya está listo el reporte “2008 Data Breach Investigation Report”, o en castellano “Reporte de investigación de incidentes de seguridad en datos”, emitido por Verizon Business (Verizon es una de las empresas de telecomunicaciones más grandes e importantes de los Estados Unidos de América). Les comparto aquí algunos de los datos que me impactaron y me hicieron sentir obligado a tocar el tema:

59% de los incidentes resultaron de intrusiones y hacking.

62% de los incidentes fueron atribuidos a errores significativos.

79% de los errores fueron derivados de omisiones.

15% de los errores se debieron a configuraciones equivocadas.

87% fueron considerados como evitables mediante controles razonables.

Caminar antes de correr.

¿Qué significan estos datos?  ¿Qué debemos aprender de ellos?  Hasta antes de conocer los números pretendía escribir sobre algunas de las metodologías de análisis de riesgo y del camino que todavía nos falta por recorrer respecto a eso, pero después de ver la crudeza de los datos en el reporte, creo que hay mucha reflexión que cada quien en su propia trinchera debe hacer, en particular si nos estamos enfocando en lo que es realmente importante. Quiero enfatizar la reflexión caso por caso porque considero que sería un error generalizar a partir de cifras que de origen no constituyen una muestra estadísticamente válida, ya que reflejan la realidad sólo del subconjunto que tuvo incidentes y que fueron investigados por el equipo de respuesta de Verizon.

Es evidente que el error más común radica en desatender las prácticas básicas de seguridad de información, ¿cómo hablar de manejo de eventos de seguridad y herramientas de siguiente generación si no hemos atendido al llamado de la “due diligence” o del debido cuidado profesional? No es necesario realizar un análisis de riesgo muy elaborado para encontrar infraestructura que carece de parches importantes, equipos cuyo sistema operativo no ha sido adecuado para soportar el ambiente al que estará expuesto, entre muchas otras circunstancias que ya sabemos que implican un riesgo que atender.

Entonces, ¿cuál es el problema? Desde mi perspectiva, el problema está relacionado con la manía de resolver todos los problemas con tecnología,  sin importarnos que muchos de ellos –y me atrevo a decir la mayoría, si nos atenemos a los resultados de la investigación-  deben ser resueltos por un marco normativo y metodológico más robusto. Creo firmemente que como profesionales de la seguridad de información es nuestro deber cuidar que por lo menos los controles básicos – me viene a la mente CobIT- estén implantados en nuestras organizaciones y a partir de allí construir hacia adelante.

[email protected]