24 septiembre 2008

Estas seguro de que estas seguro?

El juego de palabras del título puede parecer divertido, pero plantea una pregunta con mucha miga. ¿Puedes garantizar la seguridad de tus sistemas en este mismo instante? Esa es la pregunta que plantea Sebastián Bortnik en su post Cómo sé si estoy seguro.

La verdad es que es una pregunta con trampa. Si la seguridad completa es imposible de conseguir, nunca podremos asegurar al 100% nuestra seguridad. Eso quiere decir que ese % de riesgo residual se puede traducir en un % de certeza residual acerca de nuestra seguridad plena. ¿Se puede estar un 95% seguro de que los sistemas de información no han sido violados? Eso es precisamente lo que habría que garantizar en términos estadísticos.

Y el artículo continúa con un check-list de elementos a verificar para poder garantizar esa seguridad de los sistemas. Un check-list interesante, sobre todo, para plantearnos cuál es el nivel de supervisión que tenemos sobre nuestra seguridad. ¿Cuántos de estos ítems aparecen en nuestro cuadro de mando de seguridad? ¿En qué parámetros nos basamos para responder a preguntas sobre nuestra seguridad? Vemos la lista:
  • Identificadores de usuario (no) autorizados.
  • Servicios corriendo (no) conocidos.
  • Fecha (des)actualizada y/(o) (des)sincronizada.
  • Sistemas (no) desarrollados bajo normativas y estándares, incluyendo los de seguridad.
  • Vulnerabilidades conocidas (no) parcheadas.
  • Actividad del administrador (no) autorizada.
  • (No) Ausencia de alertas en los sistemas de seguridad -Antimalware, IDS/IPS, SIM, etc.-.
  • Parámetros de funcionamiento de los servidores (in)controlados -carga, ocupación, etc.-.
  • (No) Ausencia de tráfico inusual en la red -firewall, routers, etc.-.
  • Anti-malware (des)actualizado.
  • (No) Ausencia de intentos fallidos de log-on.
  • (No) Ausencia de errores en los logs de los sistemas y aplicaciones.
  • (No) Ausencia de accesos físicos no autorizados.
  • Caídas de los sistemas (no) justificadas.

Seguro que a todos se nos ocurren más apartados a controlar, pero la pregunta es... ¿Cuántos de ellos controlamos? ¿Sobre cuántos somos capaces de responder adecuadamente? Y en última instancia... ¿Qué argumentos tenemos, en realidad, para poder asegurar con bastante certeza que nuestros sistemas son seguros? Porque no olvidemos que hay dos motivos para no registrar incidentes de seguridad: que no los tengamos o que no nos enteremos de que suceden.

Publicado por a las
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)