19 agosto 2008

Direccion y seguridad: siguen sin entenderse

Me gustan los artículos donde, sin necesidad de aportar nada especialmente novedoso, son capaces de resumir y concretar en pocas palabras muchas ideas que siempre andan revoloteando por ahí pero que pocas veces encontramos sintetizadas. Este artículo, que explica los 10 peores errores de la dirección en materia de seguridad de la información, es uno de ellos. En resumen, estos errores vienen a ser los siguientes:
  • Asignar la seguridad de la información a personal no especializado: No me parece tan grave el hecho inicial, sobre todo teniendo en cuenta que no es tan sencillo encontrar a alguien realmente especializado, como la segunda parte, la de no proporcionar a esa persona la formación especializada que requiere. Aunque normalmente sí que le exijan que haga bien la función que le han asignado...
  • Seguridad de ámbito parcial: Es un caso muy habitual, y es no ver la seguridad de la información desde el punto de vista del negocio, global, sino restringirlo a un ámbito determinado, normalmente IT o seguridad física.
  • Falta de entendimiento: Aunque es posible que la culpa en este caso sea más de los responsables de seguridad, hay que ser capaz de traducir la inversión en seguridad a términos de negocio, que entienda la dirección.
  • Insuficiente mantenimiento de los dispositivos de seguridad: Aunque el artículo sólo habla de que los dispositivos de seguridad no sólo hay que comprarlos, sino mantenerlos y operarlos para que sigan siendo efectivos, yo también recordaría aquí aquello de que no es suficiente con tener (incluso actualizados) "cacharros" de seguridad. La seguridad real va mucho más allá...
  • Seguridad dependiendo de informática: También suele pasar, y es un agravante del caso de seguridad de ámbito parcial. Como bien dice el artículo, no se puede ser juez y parte.
  • Externalizar completamente la seguridad informática: Aunque también se puede hablar del mismo problema ligado sólo a uno de los dos términos (seguridad o informática), la externalización completa no suele ser una buena solución. El principio de que la responsabilidad nunca se puede delegar (y mucho menos en un externo, añadiría yo) debe ser el principio fundamental.
  • No valorar adecuadamente la información: Si la clave de un SGSI son los activos de información es por algo. Toda compañía debería saber con qué información trabaja y cuál es su importancia en términos tanto internos como de mercado, y no olvidar de contrastar esos valores desde el ámbito de la reputación corporativa.
  • Actuar de forma reactiva y con parches: Me temo que uno de los males más extendidos del mundo empresarial es no atajar las causas de los problemas, y en el ámbito de la seguridad este hecho es especialmente grave.
  • Ignorar los problemas: Es un comportamiento muy unido al anterior. La frase de que la ignorancia es atrevida es una verdad universal, pero en materia de seguridad esa ignorancia no nos va a salvar de los incidentes, ni de pagar sus consecuencias si llegan a ocurrir.
  • Maquillar resultados por motivos presupuestarios: Es una de las prácticas más negativas en torno a la seguridad, ya que no sólo no se atajan los problemas sino que probablemente se agraven, mientras se mantenga la intencionalidad de ocultar los hechos. Y si encima se debe a motivos presupuestarios la situación es peor todavía, ya que supone que la inversión no se administra donde es necesaria...

En resumen, creo que es un listado bastante interesante. Y no por ser un análisis exhaustivo de los problemas más graves, sino porque es un buen ejemplo que puede servir a cualquiera como espejo en el que mirarse. ¿Os habeis sentido identificados? ¿Creeis que habeis superado estos 10 errores? Espero que no salgais demasiado mal en la foto...

13 agosto 2008

Analisis de Riesgos en tiempos de crisis

Como parece que está de moda eso utilizar la crisis como pretexto para hablar de casi cualquier cosa, he decidido subirme yo también al carro antes de que se convierta en un recurso tan explotado que el título del post pierda la "gracia" (queda bien, verdad?) :-)

Evidentemente, los análisis de riesgos son unas actividades que pueden salir reforzadas cuando toca apretarse el cinturón. Nos permiten analizar, de forma "objetiva" y cuantificada, el riesgo que sufre una organización frente a un determinado catálogo de amenazas. Y sobre todo nos permite jerarquizar estos riesgos en base a los resultados del análisis, y poder priorizar la solución de aquellos que tras el análisis hayan sido identificados como más preocupantes. Está claro que, en épocas de limitación de recursos, un buen análisis de riesgos nos permite aumentar la eficacia de la inversión dedicada al tratamiento de los riesgos, ya que somos capaces de dedicar los recursos allá donde más falta hacen, y por lo tanto donde mejores resultados (en términos de disminución del riesgo global) van a ofrecer.

Sin embargo, aunque los análisis de riesgos puedan parecer unas herramientas útiles en este tipo de situaciones, no hay que perder de vista que son herramientas "defensivas". Son actividades cuyo objetivo último es el de minimizar pérdidas, lo que es propio de una estrategia conservadora. Sin embargo, frente a esta forma de abordar tiempos difíciles, puede haber organizaciones que apuesten por una estrategia "ofensiva", estableciendo un objetivo complementario al anterior, consistente en maximizar ganancias. ¿Es posible encajar un análisis de riesgos en este planteamiento?

La verdad es que no se me ocurre el modo de hacer que un análisis de riesgos encaje de forma natural en una estrategia como la planteada. Supongo que estoy demasiado "intoxicado" después de tantos años justificando el ROI de la seguridad desde un punto de vista de "disminución de pérdidas". Sin embargo, sí que se me ocurre una forma de abordar la situación: al igual que hemos buscado la situación complementaria a la minimización de pérdidas, ¿Por qué no tratamos de encontrar la herramienta complementaria al análisis de riesgos?

La propuesta es muy sencilla. Un análisis de riesgos parte de una serie de activos (factor neutro) para analizar los riesgos (factor "negativo") mediante la cuantificación de dos factores también "negativos", las amenazas y las vulnerabilidades. La propuesta es, sencillamente, rehacer ese mismo análisis de riesgos mediante la cuantificación de los factores complementarios ("positivos") a las amenazas y las vulnerabilidades.

¿Cuáles son esos factores complementarios? A partir de los conceptos no resulta muy complicado identificarlos. Si las amenazas son agentes capaces de provocarnos algún daño, el complementario sería un agente capaz de provocarnos algún beneficio. Y si la vulnerabilidad es lo susceptibles que somos a que ese daño se materialice, lo contrario sería identificar cómo de predispuestos estamos a que ese beneficio se materialice. Si lo queremos llamar de algún modo, podríamos llamar oportunidad al opuesto de la amenaza y fortaleza al opuesto de la vulnerabilidad. ¿A alguien le suenan estos conceptos? Si sustituimos el término vulnerabilidad por un sinónimo como debilidad, quizás sea más fácil reconocerlo. ¿Ahora sí, verdad? Efectivamente, nos encontramos con un cuarteto de conceptos (Debilidades - Amenazas - Fortalezas - Oportunidades) ampliamente utilizado en un determinado tipo de análisis estratégico: los análisis DAFO.

Por lo tanto, ¿Cual es la propuesta? Se trata, sencillamente, de llevar a cabo un análisis de... (anti-riesgos? potencialidades? la verdad es que no he sido capaz de encontrar una palabra que me convenza del todo, así que os animo a que me propongais alguna otra), teniendo en cuenta las oportunidades y las fortalezas asociadas a cada activo de nuestro análisis. O, mejor aún, llevar a cabo un análisis global, en el que analicemos tanto los riesgos como las potencialidades (a falta de otra palabra, me quedo con esta), dentro del mismo análisis. De cara a su cálculo numérico sería tan sencillo como añadir un signo negativo a las amenazas y valorar en positivo las oportunidades... ¿Es esta propuesta, entonces, similar a realizar un análisis DAFO? No, ya que hay varias diferencias sustanciales:
  • Los análisis DAFO no se cuantifican, mientras que los análisis de riesgos y potencialidades sí.
  • Los análisis DAFO se realizan valorando a la organización de forma global, mientras que los análisis de riesgos y potencialidades se realizan activo por activo.
  • Y lo que es más importante, el objetivo de un análisis DAFO es exclusivamente el de estudiar la situación competitiva de una empresa dentro de su mercado, mientras que el objetivo del análisis de riesgos y potencialidades es el estudio de dichos riesgos y potencialidades... en la materia que pongamos de coletilla (en el caso más habitual en este blog, los riesgos y potencialidades de seguridad de la información, pero podría ser cualquier otro).

Pese a todo, estas diferencias no suponen un abismo infranqueable entre ambos análisis. Tanto aquellos que estén acostumbrados a realizar análisis DAFO como aquellos que suelan realizar análisis de riesgos estándar van a ser capaces, sin demasiadas complicaciones, de llevar a cabo un análisis como el propuesto. Sólo es necesario un pequeño esfuerzo mental para ser capaces de ampliar nuestro punto de mira. Y, al fin y al cabo, eso es lo que nos toca a todos en estos tiempos de crisis, verdad?

11 agosto 2008

La curiosidad, un enemigo de la seguridad

Todos estamos acostumbrados a escuchar aquello de que el mayor foco de riesgo viene del interior de nuestras organizaciones. Y es que, por el simple hecho de tener que acceder a información privilegiada para realizar su labor, nuestros usuarios son precisamente los que más fácil pueden provocar su exposición no autorizada. Argumentos tan simples como los malos hábitos de estos "insiders" son, en la práctica, las causas más habituales de las brechas de seguridad. Aunque eso no quita para que haya otros estudios que afirmen, a la contra, que dicha amenaza es exagerada... La clave de esta contradicción la podemos encontrar, tal y como nos aclara Sergio Hernando en su análisis de dicho estudio, en el impacto que producen cada tipo de incidentes: como era de esperar, las brechas de seguridad con origen interno provocan mucho mayor impacto que las de origen externo. De todas formas, los resultados de dicho estudio parecen ser bastante dispares en relación a los de otros estudios similares que van apreciendo, y que nos viene a recordar que las violaciones de seguridad interna parecen ir en constante crecimiento...

Pero el objetivo del post de hoy no es disertar sobre si el mayor foco de riesgo está dentro o fuera de la organización, sino analizar una de las causas más frecuentes de la aparición de brechas de seguridad: la curiosidad. Desde mi punto de vista esta es, junto con los errores y los cabreos, una de las tres principales causas de los incidentes de seguridad.

La curiosidad es algo innato al ser humano, y uno de los principales motores de nuestro aprendizaje. Esto es así desde la más tierna infancia, y cuanto mayores sean las ganas de aprender de una persona más desarrollada estará su curiosidad. Curiosidad, obviamente, hacia lo desconocido, y sobre todo hacia aquello que sabemos que se puede llegar a conocer. ¿Y qué mejor entorno para desarrollar esta curiosidad que un entorno en el que se trabaje con distintos niveles de clasificación de la información, con información cuya distribución esté restringida, o en el que las personas muestren (o se les exija, incluso) una importante capacidad de aprendizaje?

Esta curiosidad mueve a muchas personas a tratar de conocer qué hay más allá de su ámbito. '¿Hay algo interesante en el monitor de al lado, en la mesa de al lado, en el fichero de al lado? Seguro que sí! ¿Y por qué no tratar de ver si me puedo enterar?' Conocer lo prohibido, descubrir lo que sabemos que existe, es una motivación muy intensa para algunas personas. Y no es necesario que haya una motivación ulterior, el descubrimiento en sí mismo ya es suficiente premio. ¿Quién no ha querido conocer la nómina de su jefe, o el contenido de una carpeta del servidor de ficheros etiquetada como "top-secret"? Y es que, al fin y al cabo... ¿A quién no le gustaría ser el protagonista de una peli de espías?

Ante esta amenaza es muy complejo luchar. Nunca podremos eliminar este tipo de motivaciones, son inherentes al propio ser humano. Aquí ni siquiera la concienciación sirve, sobre todo si pensamos en la cultura "mediterránea" (quizás con una forma de ser mucho más rigurosa, como la asiática o la germana, sí que fuese posible). ¿Qué estrategias podemos adoptar? A mí se me ocurren dos.

La primera es la obvia: centrarnos en los controles, en las normas de seguridad, y reforzarlas para ser capaces de impedir que esos impulsos de curiosidad sean fructíferos. Limitar al máximo la cantidad de "pistas" sobre la existencia de algo "más allá" puede ser una buena estrategia: si no somos conscientes de que existe tierra al otro lado del mar probablemente no querramos arriesgarnos a cruzarlo.

Por contra, la segunda es totalmente opuesta: máxima apertura y transparencia. Si todo el mundo puede conocer toda la información, no hay forma de que se produzcan brechas de confidencialidad. La curiosidad puede ser plenamente saciada. ¿Os parece una alternativa válida?

Obviamente, cada una de las opciones tiene sus ventajas e inconvenientes, y seguro que ambas tienen sus defensores y detractores. ¿Qué beneficios veis a cada una de ellas? ¿Cuál os parece más viable? ¿Cuál más efectiva? Estoy deseando escuchar vuestras opiniones

De nuevo On-Line

La verdad es que me da un poco de apuro ver que, en los últimos 2 meses, sólo aparece un triste post en el blog. Podría echar parte de la culpa a las vacaciones o al intenso fin de semestre profesional que tuve, pero la verdad es que no sería del todo sincero. En realidad la culpa la tiene el verano y el síndrome de pereza bloguera que estoy sufriendo. Pero hoy me he levantado más animado, así que estoy dispuesto a combatir este síndrome de la mejor forma posible: con nuevos e interesantes (espero) post sobre seguridad y gestión... y muchas otras cosas más. Espero que os gusten!