23 febrero 2009

Análisis de riesgos orientado a negocio

Hoy quiero rescatar un extenso post sobre análisis de riesgos que leí hace ya algún tiempo, y que creo que puede aportar ciertos detalles que enriquecen los enfoques tradicionales de este tipo de actividades. El autor explica en su post su método de realización de análisis de riesgos, partiendo de un enfoque cuantitativo tradicional de los mismos y analizando sus dificultades. Del post, que invito a leer a todo aquél que esté interesado en explicaciones detalladas sobre este tipo de actividades, me gustaría extraer varios aspectos que me han parecido interesantes:
  • Orientación a procesos del análisis de riesgos: El autor propone llevar a cabo un análisis de los procesos más importantes para el negocio, identificando en cada uno de ellos las entradas, las salidas y los recursos necesarios para llevar a cabo el proceso, y tomar esa identificación como el registro de activos. Este planteamiento permite realizar un análisis de riesgos con orientación a negocio y que por otra parte encaja a la perfección en un modelo de gestión por procesos, con lo que a muchas organizaciones este planteamiento les puede venir como anillo al dedo.
  • Cuantificación del análisis: Con un análisis de riesgos orientado al negocio es posible llegar a cuantificar los impactos que pueden producir la materialización de las amenazas, con lo que sería posible cuantificar el análisis incluso desde el punto de vista económico. Además, el artículo propone varias vías para poder lograr y ajustar esta cuantificación.
  • Orientación de los beneficios de los controles en función de su tipología: El artículo propone tener en cuenta la tipología de los controles (preventivos, detectivos, correctivos) para evaluar su idoneidad y estimar la conveniencia de hacer uso de uno u otro en función de las necesidades.

La verdad es que el artículo contiene una gran cantidad de detalles que, si realmente requieres de un análisis de riesgos con mucho detalle o incluso cuantitativo, pueden servir de referencia. Y el ejemplo utilizado seguro que puede servir de inspiración para otro tipo de análisis ante los que os podais enfrentar. En definitiva, una referencia altamente recomendable.

16 febrero 2009

El factor humano

Siempre hemos dicho que, en materia de seguridad, las personas somos el eslabón más débil de la cadena. Que el factor humano es el principal foco de riesgo. Que la concienciación es clave si queremos lograr un mínimo de seguridad... Y una y otra vez aparecen noticias que nos recuerdan que no hemos avanzado nada. Que las iniciativas que hay en este sentido son insuficientes, y a veces da la sensación de que son inútiles. Al menos, esa es la sensación que queda al leer la noticia de que la clave 1234 sigue siendo la más habitual. Y que la propia retrospectiva del artículo nos confirme que ya en 2005 se daba esta situación (y antes también, me temo).

La verdad es que, por muchas vueltas que le doy, no lo termino de entender. Ya no estamos hablando de contraseñas corporativas, cuya "importancia" a veces no valoran adecuadamente los usuarios, sino que estamos hablando de claves tan "importantes" para la mayor parte de la población como son las claves de acceso a la banca electrónica. Las que protegen nuestro dinero. Y sin embargo, los malos hábitos siguen siendo demasiado frecuentes. ¿Cuál es el problema? ¿Realmente somos tan poco conscientes de lo "habitual" de nuestras claves? ¿O es que en realidad no somos capaces de estimar adecuadamente los riesgos? Porque tenemos que tener en cuenta que las claves predecibles también abundan en entornos más físicos, como son las tarjetas de crédito, así que la "virtualidad" del entorno tampoco termina de convencerme. La verdad, tengo la sensación de que la respuesta es más compleja de lo que pueda parecer a priori.

No obstante, no creo que el género tenga nada que ver. Por mucho que digan en algunos artículos (uno de los artículos relacionados con el anterior) que las mujeres son más confiadas a la hora de revelar sus claves, tengo la sensación de que lo que refleja el "estudio" es más una mayor predilección por las chocolatinas que una mayor tendencia a revelar las claves...

09 febrero 2009

El valor de la seguridad

Hace unos días leí un artículo bastante interesante. En realidad no dejan de ser datos estadísticos, pero me parece muy interesante conocer la opinión de los usuarios "normales" de internet acerca de la seguridad. Sobre todo, me llamó la atención el dato que ofrecen en dicho artículo y que indica que "para pensar en comprar en un sitio no protegido, uno de cada tres consumidores dijo que esperaría al menos un 30% de descuento". El artículo también afirma que, en relación a las compras por Internet, "para el 85% de los consumidores lo más importante es confiar en el sitio web cuando interactúan en él y comparten información confidencial". Y que el precio sólo es lo más importante para el 9% de los casos.

La conclusión que saco del artículo es sencilla: en los pagos por Internet la seguridad SI que se valora, y además los usuarios son capaces incluso de cuantificarla. ¿Por qué no sucede esto en otros ámbitos? ¿Por qué sólo somos capaces de valorar la seguridad cuando estamos tratando directamente con dinero? Yo diría que el problema no está tanto en la valoración que podemos llegar a hacer de los riesgos de seguridad como en nuestra capacidad para percibir "monetariamente" nuestras actividades. En otros términos, que más que el ROSI lo que nos cuesta trabajo calcular es un ROI estándar, y que sólo somos capaces de evaluarlo cuando hablamos de repercusiones económicas directas. ¿Estais de acuerdo? ¿Creeis que es complicado estimar el valor económico de nuestras actividades?

05 febrero 2009

Discos duros cifrados

Hoy he leído una noticia que curiosamente tengo la sensación de que ha pasado bastante desapercibida incluso en este mundillo, y la verdad es que me ha parecido bastante interesante. Parece que los principales fabricantes de discos duros han cerrado las especificaciones de un estándar de cifrado de discos duros y otro tipo de unidades de almacenamiento. Y según indica el citado artículo dicho cifrado vendrá incorporado "de serie" en los dispositivos, vía firmware, y permitirá el cifrado completo de los discos.

A falta de conocer más detalles acerca de las características del estándar, quiero pensar que las técnicas de cifrado seleccionadas serán robustas y contrastadas. En realidad no tendría mucho sentido, desde el punto de vista empresarial, exponerse a implementar una solución de cifrado no contrastada que sea vulnerable y correr el resgo de aparecer en los medios. Así que, pese a no haber investigado la noticia, voy a presuponer que la solución definida es robusta.

A partir de ese planteamiento, la verdad es que me parece un avance muy importante. Estandarizar una solución de cifrado de discos garantiza, tal y como dice el artículo, una reducción de los costes asociados a su implementación, y por tanto facilita una adopción más amplia de este tipo de soluciones. Y disponer de una referencia estandarizada también anima a los fabricantes de equipos a utilizar discos que implementen esta funcionalidad, ya que no corren el riesgo de seleccionar soluciones no contrastadas que luego puedan ocasionar apariciones en prensa no deseadas. Por tanto, creo que es una noticia muy importante para contribuir a la mejora de la seguridad en equipos portátiles.

Y por último, no olvidar que, en última instancia, la solución de cifrado dependerá de una clave de usuario, y por tanto este tipo de soluciones serán completamente ineficaces si no conseguimos que los usuarios de este tipo de dispositivos se conciencien de que deben utilizar claves robustas...

02 febrero 2009

Seguridad en el desarrollo

La seguridad en el desarrollo de aplicaciones es uno de los mayores caballos de batalla dentro de este mundillo. Sobre todo teniendo en cuenta la creciente complejidad de dichos desarrollos y los decrecientes márgenes de actuación que suelen tener los desarrolladores, sobre todo en plazos.

Hace un par de semanas se publicó una noticia en la que un estudio alertaba sobre los peores 25 errores de programación, orientada a identificar las prácticas de programación con mayores riesgos desde el punto de vista de la seguridad. En el artículo me llama la atención que primero se afirme que "la mayor parte de los errores podrían ser evitados si los programadores fueran más cautelosos con su trabajo", y más adelante se diga que "la mayoría de los errores de la lista son relativamente desconocidos entre los propios programadores y no forman parte de los estudios de los desarrolladores". Es decir, que apuntan a la falta de cautela y a la insuficiente profundidad de conocimientos al respecto como dos de las principales causas de estos graves errores.

No quiero entrar a valorar estas posibles causas, y si realmente las presiones empresariales tienen más o menos peso que las que indica el artículo. No obstante, sí que quiero prestar algo de atención a la posibilidad de que los conocimientos de los programadores respecto de estos errores puedan ser insuficientes. En este otro artículo se enumeran cuáles son en concreto estos 25 errores, agrupados en 3 categorías:
  • Interacción insegura entre componentes
  • Administración inadecuada de los recursos del sistema
  • Técnicas de "defensa" mal utilizadas o ignoradas

¿Creéis que realmente puede haber un insuficiente conocimiento al respecto acerca de estos errores? ¿Conocéis algún programa de estudios que contemple de forma explícita estos tres ámbitos?

No obstante, creo que el mayor problema de la inseguridad en los desarrollos es, más allá de la problemática técnica, la ausencia de responsabilidades en torno al software. Prácticamente nadie se hace responsable de los fallos que pueda tener el software que desarrolla ni de las consecuencias que puedan tener dichos fallos. Sí, es cierto que en el mercado de software actual esto parece impensable, pero... ¿No es precisamente esta falta de asunción de responsabilidades la que nos ha llevado a que a un PC no se le puedan exigir las mismas garantías que a un coche? Y no obstante hay PCs que controlan sistemas mucho más sensibles para la vida humana que un coche...

En definitiva, creo que la solución a la inseguridad en el desarrollo tiene una muy difícil solución, y no por los problemas que provoca el propio mercado, la atención o la formación, sino porque en dicho mercado prácticamente no hay nadie dispuesto a asumir formalmente los riesgos derivados de vender un software que pueda tener errores de seguridad. Que se conozcan cuáles son los mayores errores no garantiza que se vayan a querer subsanar, si el esfuerzo no merece la pena en términos económicos...