14 junio 2011

Ya no basta con ser como la mujer del césar

Seguro que todos hemos oído que en seguridad, como la mujer del césar, no sólo basta con ser honrado, también hay que parecerlo. Unas buenas medidas de seguridad no sólo tienen que ser eficaces, sino que tienen que parecerlo. El efecto disuasorio de la apariencia de seguridad no es en absoluto despreciable, y de hecho es una medida preventiva bastante eficiente. Y si no, que se lo pregunten a los instaladores de alarmas (que siempre colocan el cartel de "alarma conectada") o a los que colocan cámaras de seguridad "falsas".

La discusión entre cuál de los dos factores es más importante (y por tanto, cuál primar) tampoco es trivial, aunque el análisis es fácil de entender. La apariencia de seguridad es una medida de seguridad preventiva, que reduce la probabilidad de ocurrencia de un ataque (no de cualquier incidente, sólo de los malintencionados). Por contra, la seguridad eficaz pero no aparente puede ser una medida de seguridad preventiva, detectiva o reactiva, en función de lo cual va a reducir la probabilidad de ocurrencia del incidente en el primer caso o el impacto del mismo (directamente en el caso reactivo e indirectamente en el detectivo)en los restantes. Por tanto, primar uno u otro dependerá sencillamente de nuestro análisis de riesgos y de qué tipo de amenazas queramos mitigar.

Sin embargo, a día de hoy creo que no basta con tener en cuenta estos dos factores. Hay un tercer factor que cada día cobra más importancia a la hora de valorar una medida de seguridad: la fiabilidad de sus resultados. Es un factor que no es nuevo (que se lo pregunten a los fabricantes de IDS y los problemas causados por falsos positivos/negativos), pero que cada día cobra más importancia. La confiabilidad de las medidas de seguridad está relacionada con su sostenibilidad, y busca la certeza de que los resultados ofrecidos se puedan garantizar a lo largo del tiempo. De poco vale un buen control de accesos si no somos capaces de controlar los cambios que realizamos en su configuración, de forma que a la hora de la verdad no podamos asegurar si durante un ataque funcionó como queríamos que lo hubiera hecho.

El problema es que, a día de hoy, la mayor parte de los sistemas de seguridad (físicos, lógicos, o del tipo que sean) no están preparados para garantizar su fiabilidad a lo largo del tiempo. ¿Cuántos armarios son capaces de identificar unívocamente cada llave de acceso? ¿Cuántos firewalls son capaces de guardar la trazabilidad completa de los cambios de configuración sufridos? ¿Cuántos sistemas de ficheros están preparados para realizar auditorías periódicas de su contenido? Si alguien pone en duda la fiabilidad de las medidas de seguridad que tenemos dispuestas... ¿Estamos preparados para contestar?

06 junio 2011

El efecto mariposa de la seguridad

En estos últimos tiempos estamos presenciando cada vez más iniciativas legislativas en torno al sector de la seguridad. Por un lado, a principios del año pasado presenciábamos el nacimiento del ENS. Por otro lado, estas navidades veíamos cómo el nuevo Código Penal introducía el concepto de la culpa in vigilando en torno a la responsabilidad penal de las personas jurídicas, obligando a las organizaciones a garantizar el debido control corporativo. Este año hemos visto cómo, en un tiempo récord, surgía la Ley 8/2011 para la Protección de las Infraestructuras Críticas y el Real Decreto 704/2011 por el que se aprueba el Reglamento que desarrolla la LPIC. En todas ellas, la correcta aplicación y gestión de la seguridad de la información y los entornos TIC es el núcleo de su aplicación.

Después de ver este panorama, me asalta una duda existencial. Serán estas leyes las alas de la mariposa, y dentro de algún tiempo acabaremos viendo el tsunami provocado? O quizás debamos echar la vista atrás y buscar el aleteo que ha provocado este despliegue legislativo? Está sufriendo el sector su propio efecto mariposa?