El valor de los estándares y el oscurantismo en seguridad de la información
Fuente: http://candadodigital.blogspot.com/2011/09/el-valor-de-los-estandares-y-el.html
Ser o no ser
Hace algunas semanas participé en una discusión muy interesante con algunos colegas que inició cuestionando el valor real de las "mejores prácticas" en seguridad. El caso concreto era ISO 27001, y se cuestionaba cómo se podría demostrar a la gente de negocio el valor real de cumplir con esta norma internacional.
Yo creo que la mayoría nos hemos enfrentado a este problema en algún momento: que alguien te cuestione, o te pida evidencia de que X mejor práctica realmente funciona.
Durante la discusión se tocaron diferentes puntos, incluyendo una comparación con Seguridad Física. La mayoría coincidimos en que para el personal de seguridad física resulta más fácil demostrar sus beneficios de cara al negocio, mientras que en seguridad de la información todavía nos cuesta mucho trabajo lograr esto.
Causas y efectos
Es simple; seguridad física siempre ha estado muy cerca de los procesos de negocio, mientras que seguridad de la información no. En lo personal pienso que gran culpa recae en la forma como nosotros, los "profesionales" de la seguridad de la información, hemos abordado el problema.
Cuando a una empresa le roban un camión de mercancía o hay un daño físico a sus instalaciones (ej. por vandalismo), el evento de pérdida (mejor conocido como incidente para nosotros) se puede relacionar directamente con un impacto a la operación; un impacto económico inclusive. Ellos no buscan justificar el valor de cada control; valoran todo el conjunto de controles y se basan simplemente en los resultados de cara al negocio.
En cambio cuando nosotros nos ponemos a hablar de amenazas y vulnerabilidades de seguridad de la información, nos cuesta mucho identificar cuánto le costó al negocio la materialización de un evento. En seguridad de la información nos encanta hacer "micromanagement" lo que propaga el error de nuestras ya de por sí pobres estimaciones al querer ponerle un valor a cada elemento (el negocio sólo necesita el balance total).
En pleno siglo XXI, nosotros nos seguimos justificando con "altos", "medios" y "bajos". En cambio un responsable de seguridad física es capáz de medir el beneficio de sus controles en $, sin ningún problema.
La historia es la de siempre, seguimos desconectados del negocio y creemos que podemos calcular todos los datos a partir de una visión técnica. Además sigue existiendo un aura de elitismo y arrogancia en nuestra profesión que ha acabado por minar la confianza en nosotros, para ser muy claros. Por eso fallamos y por eso las empresas no logran ver el beneficio real de implementar X o Y estándares de seguridad.
Por supuesto que, intuitivamente, aplicar "mejores prácticas" debería reducir los riesgos, pero la pregunta del negocio no es esa, sino si hay cósto beneficio y de cuánto es; dicho de otra manera, si la reducción de riesgos al aplicar estas medidas vale la pena o no. Yo no puedo creer que a estas alturas, no exista (o no sea fácil de encontrar) un estudio formal donde se demuestre que implementar CoBit, ISO 27K o PCI DSS genera mayores beneficios que hacerlo de manera adhoc (y ni hablar de los costos). Pero sucede que la variabilidad con la que implementamos incluso lo que se supone que es estándar es tan grande que ni siquiera podemos comparar entre una y otra implementación.
De ese tamaño es el problema.
Postdata
En décadas anteriores la seguridad de la información era más ciencia que hoy en día. Hoy casi todo es percepción y muy pocos profesionales manejan adecuadamente los fundamentos de nuestra disciplina.
Por ejemplo, creo que pocos recuerdan que Fred Cohen demostró hace años que el enfoque de los anti-malware tenía muchas deficiencias y prácticamente lo condenaba al fracaso con base en demostraciones formales, y sin embargo, hoy todos nos desgarramos las vestiduras por ese tema. Otro ejemplo: mucha gente de seguridad de la información hoy en día repite hasta el cansancio que los passwords deben ser alfanuméricos de más de 8 caracteres y con símbolos, sin poder explicar siquiera el por qué; luego cuando alguien les pide explicar si con base en ese razonamiento un sistema de tipo chip&pin con 4 dígitos es más o menos seguro no saben qué decir.
Yo creo que estamos en una época de oscurantismo en seguridad de la información, donde hacemos las cosas en su mayor parte sin saber el por qué fundamental. En ese sentido creo que las organizaciones tienen todo el derecho de cuestionar el beneficio de cualquier estándar, control o política de seguridad de la información que queramos implementar.
No es que no funcionen. Lo que es imperdonable es que a estas alturas no podamos demostrar de forma convincente que los beneficios existen y los podemos medir (y para ser sinceros no todos los controles que implementamos tienen beneficios reales).
En mi opinión el problema se da a nivel mundial Alex. Los estudios y publicaciones formales están prácticamente enfocados a la academia, los papers de fácil acceso se han desvirtuado enormemente por el enfoque comercial, y hoy en día estamos todos más enfocados en brindar opiniones que en demostrar y analizar las cosas formalmente.
Por otro lado, los foros de discusión que antes promovían la interacción entre los especialistas más destacados hoy son escazos; los "gurús" que seguimos ya casi no discuten públicamente, sino expresan su visión de forma unilateral en blogs o en menos de 140 caracteres cada hora.
Y es curioso, porque hoy el conocimiento técnico está a la mano de todo mundo; y hay muchas mentes brillantes que son capaces de literalemente "compilar exploits" en su cabeza. Y a pesar de esto nuestro mayor conocimiento técnico no compensa la falta de resultados de cara al negocio.
Conclusiones
Debemos de buscar la forma de reestablecer los fundamentos en el sector de la seguridad de la información. Con ello no me refiero solo a aprendernos de memoria las 3 palabras de la triada de la seguridad, sino a comprender realmente las implicaciones de cada riesgo que encontramos y las acciones que tomamos para mitigarlos.
Igualmente importante es que seamos capaces de entender las necesidades del negocio y comunicarle de manera clara y lógica el impacto de los problemas que tenemos en seguridad.
El tema de la gestión del riesgo integral es hoy un punto fundamental para ello; las empresas empiezan a entenderlo y a exigirlo, pero desafortunadamente nosotros no parecemos tomarlo con la seriedad debida.
Si no retomamos el buen camino, donde podamos demostrar resultados en vez de solo mostrar promesas, alguién más (quizás la gente de riesgos, la gente de auditoría o la misma gente de negocios) será quien tome las riendas de la verdadera seguridad de la información, relegándonos al departamento de "curiosidades técnicas de seguridad".
Fuente: http://candadodigital.blogspot.com/2011/09/el-valor-de-los-estandares-y-el.html
Ser o no ser
Hace algunas semanas participé en una discusión muy interesante con algunos colegas que inició cuestionando el valor real de las "mejores prácticas" en seguridad. El caso concreto era ISO 27001, y se cuestionaba cómo se podría demostrar a la gente de negocio el valor real de cumplir con esta norma internacional.
Yo creo que la mayoría nos hemos enfrentado a este problema en algún momento: que alguien te cuestione, o te pida evidencia de que X mejor práctica realmente funciona.
Durante la discusión se tocaron diferentes puntos, incluyendo una comparación con Seguridad Física. La mayoría coincidimos en que para el personal de seguridad física resulta más fácil demostrar sus beneficios de cara al negocio, mientras que en seguridad de la información todavía nos cuesta mucho trabajo lograr esto.
Causas y efectos
Es simple; seguridad física siempre ha estado muy cerca de los procesos de negocio, mientras que seguridad de la información no. En lo personal pienso que gran culpa recae en la forma como nosotros, los "profesionales" de la seguridad de la información, hemos abordado el problema.
Cuando a una empresa le roban un camión de mercancía o hay un daño físico a sus instalaciones (ej. por vandalismo), el evento de pérdida (mejor conocido como incidente para nosotros) se puede relacionar directamente con un impacto a la operación; un impacto económico inclusive. Ellos no buscan justificar el valor de cada control; valoran todo el conjunto de controles y se basan simplemente en los resultados de cara al negocio.
En cambio cuando nosotros nos ponemos a hablar de amenazas y vulnerabilidades de seguridad de la información, nos cuesta mucho identificar cuánto le costó al negocio la materialización de un evento. En seguridad de la información nos encanta hacer "micromanagement" lo que propaga el error de nuestras ya de por sí pobres estimaciones al querer ponerle un valor a cada elemento (el negocio sólo necesita el balance total).
En pleno siglo XXI, nosotros nos seguimos justificando con "altos", "medios" y "bajos". En cambio un responsable de seguridad física es capáz de medir el beneficio de sus controles en $, sin ningún problema.
La historia es la de siempre, seguimos desconectados del negocio y creemos que podemos calcular todos los datos a partir de una visión técnica. Además sigue existiendo un aura de elitismo y arrogancia en nuestra profesión que ha acabado por minar la confianza en nosotros, para ser muy claros. Por eso fallamos y por eso las empresas no logran ver el beneficio real de implementar X o Y estándares de seguridad.
Por supuesto que, intuitivamente, aplicar "mejores prácticas" debería reducir los riesgos, pero la pregunta del negocio no es esa, sino si hay cósto beneficio y de cuánto es; dicho de otra manera, si la reducción de riesgos al aplicar estas medidas vale la pena o no. Yo no puedo creer que a estas alturas, no exista (o no sea fácil de encontrar) un estudio formal donde se demuestre que implementar CoBit, ISO 27K o PCI DSS genera mayores beneficios que hacerlo de manera adhoc (y ni hablar de los costos). Pero sucede que la variabilidad con la que implementamos incluso lo que se supone que es estándar es tan grande que ni siquiera podemos comparar entre una y otra implementación.
De ese tamaño es el problema.
Postdata
En décadas anteriores la seguridad de la información era más ciencia que hoy en día. Hoy casi todo es percepción y muy pocos profesionales manejan adecuadamente los fundamentos de nuestra disciplina.
Por ejemplo, creo que pocos recuerdan que Fred Cohen demostró hace años que el enfoque de los anti-malware tenía muchas deficiencias y prácticamente lo condenaba al fracaso con base en demostraciones formales, y sin embargo, hoy todos nos desgarramos las vestiduras por ese tema. Otro ejemplo: mucha gente de seguridad de la información hoy en día repite hasta el cansancio que los passwords deben ser alfanuméricos de más de 8 caracteres y con símbolos, sin poder explicar siquiera el por qué; luego cuando alguien les pide explicar si con base en ese razonamiento un sistema de tipo chip&pin con 4 dígitos es más o menos seguro no saben qué decir.
Yo creo que estamos en una época de oscurantismo en seguridad de la información, donde hacemos las cosas en su mayor parte sin saber el por qué fundamental. En ese sentido creo que las organizaciones tienen todo el derecho de cuestionar el beneficio de cualquier estándar, control o política de seguridad de la información que queramos implementar.
No es que no funcionen. Lo que es imperdonable es que a estas alturas no podamos demostrar de forma convincente que los beneficios existen y los podemos medir (y para ser sinceros no todos los controles que implementamos tienen beneficios reales).
En mi opinión el problema se da a nivel mundial Alex. Los estudios y publicaciones formales están prácticamente enfocados a la academia, los papers de fácil acceso se han desvirtuado enormemente por el enfoque comercial, y hoy en día estamos todos más enfocados en brindar opiniones que en demostrar y analizar las cosas formalmente.
Por otro lado, los foros de discusión que antes promovían la interacción entre los especialistas más destacados hoy son escazos; los "gurús" que seguimos ya casi no discuten públicamente, sino expresan su visión de forma unilateral en blogs o en menos de 140 caracteres cada hora.
Y es curioso, porque hoy el conocimiento técnico está a la mano de todo mundo; y hay muchas mentes brillantes que son capaces de literalemente "compilar exploits" en su cabeza. Y a pesar de esto nuestro mayor conocimiento técnico no compensa la falta de resultados de cara al negocio.
Conclusiones
Debemos de buscar la forma de reestablecer los fundamentos en el sector de la seguridad de la información. Con ello no me refiero solo a aprendernos de memoria las 3 palabras de la triada de la seguridad, sino a comprender realmente las implicaciones de cada riesgo que encontramos y las acciones que tomamos para mitigarlos.
Igualmente importante es que seamos capaces de entender las necesidades del negocio y comunicarle de manera clara y lógica el impacto de los problemas que tenemos en seguridad.
El tema de la gestión del riesgo integral es hoy un punto fundamental para ello; las empresas empiezan a entenderlo y a exigirlo, pero desafortunadamente nosotros no parecemos tomarlo con la seriedad debida.
Si no retomamos el buen camino, donde podamos demostrar resultados en vez de solo mostrar promesas, alguién más (quizás la gente de riesgos, la gente de auditoría o la misma gente de negocios) será quien tome las riendas de la verdadera seguridad de la información, relegándonos al departamento de "curiosidades técnicas de seguridad".
Fuente: http://candadodigital.blogspot.com/2011/09/el-valor-de-los-estandares-y-el.html
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios