Los astrofísicos y los directores de seguridad de la información (CISO) tienen algo en común: los universos que monitorean se expanden a un ritmo inexorable. Para los CISO hay, por un lado, exigencias contrapuestas entre el cumplimiento de normas y la nueva ola en seguridad, y por otro, las rupturas que cada vez producen mayor impacto.

Por si eso fuera poco, los hackers han pasado de ser meros cabilderos a delincuentes organizados, continuamente se aprueban leyes sobre apertura, el costo de una limpieza tras los ataques sube y la información que se tiene acerca de las reacciones a los ataques resulta inefectiva. Lo que está en juego es cada vez más costoso por todos los frentes, y el tiempo para un cambio trascendental ya está encima.

No hace falta ser un científico aeroespacial para percatarse de ello, y en un mundo sujetado por la falta de recursos, priorizar es componente critico al conformar la agenda de seguridad IT: hay que definir los sistemas y conjuntos de datos más críticos de la empresa; estimar los riesgos que comportan tales activos; decidir qué riesgos son aceptables, cuáles se pueden mitigar y cuáles se pueden transferir; construir un plan, y asignar adecuadamente los recursos.

¡Ojalá todo fuese tan sencillo! No hay una tecnología, proceso o enfoque “unitalla” en seguridad. Pero tras analizar los éxitos y fracasos, y de haber hablado con los líderes del ramo, está visto que en cuanto a seguridad de la información, las organizaciones están pasando de un pensamiento binario (sí/no, bueno/malo), a un enfoque pragmático de sopesar los riesgos y actuar correspondientemente.

Hay que cerciorarse de que el control de riesgos esté integrado a todos los procesos; hay que ser diligentes en la selección de los proyectos e ir más allá de combatir el fuego. Es necesario ser más sensatos en las inversiones de seguridad. En muchos casos, esto pudiera requerir una transformación total. He aquí algunos factores críticos a considerar antes de dar el salto.

NUEVA FORMA DE PENSAR. Términos como cumplimiento y risk management parecen obligatorios en todo posicionamiento de productos de seguridad, mientras que la “gobernabilidad” se acerca peligrosamente. Es debatible cuántos productos deben llevar incluidos estos tres términos como filosofía, pero cumplimiento de normas y control de riesgos son absolutamente indispensables. De hecho, se podría afirmar que la efectividad del área IT pronto dependerá de su capacidad de manejar el arte de controlar los riesgos.

El hilo conductor es la madurez. Hablar de las últimas trastadas de los hackers y hacer propuestas derivadas del temor no harán mucha mella en ejecutivos de alto nivel. Sin un lenguaje común para comunicar los riesgos (entiéndase: dinero), la preocupación sobre seguridad les entrará por un oído y les saldrá por el otro.

Pero una cosa es empuñar la espada del risk management y otra, controlar activamente el riesgo. El proceso y ciencia que respaldan este último concepto son críticos. Las áreas de risk management tienen distinto nivel de madurez, mas no obstante la profundidad y experiencia que se tenga en entender el riesgo o la probabilidad de que se adopte un marco formal de control de riesgos en el entorno IT, algunos conceptos y ajustes necesarios son críticos.

Por principio de cuentas, para comunicar un riesgo es importante entender al interlocutor. “Aprendí por las malas que hablar como si nada de los riesgos en proyectos IT no lleva a nada bueno –dice Mike Murray, especialista de seguridad de la información en el ramo de los servicios financieros–. Cuando se está hablando a gente que está acostumbrada a examinar pólizas, uno aparecerá como estúpido si no procede con cautela, pues está fuera del ambiente IT.”

La terminología empleada importa, e históricamente las IT no se han lucido en esto. Por ejemplo, en IT, la palabra “activo” puede significar desde un USB hasta un sistema completo. Para complicar las cosas, hay un desmembramiento entre la forma como las IT ven los activos y como los ven los negocios. Cerrar esa brecha es indispensable, si se quiere hablar productivamente de los riesgos. Los equipos IT y de seguridad progresistas han realizado esos mapeos y –lo que supuestamente es igualmente importante– han comunicado los vínculos a los accionistas. Sin estos pasos, poca es la probabilidad de que se dé una conversación efectiva sobre riesgos, y tanto menos una priorización.

Los términos de “vulnerabilidad” y “amenaza” también son críticos en el proceso, pero a menudo se confunden. Definida en términos generales, una vulnerabilidad es un estado o defecto de un activo que puede ser explotado y acarrear pérdidas o daños, mientras que una amenaza es una entidad o acción que puede causar pérdida o daño. Proponerse entrar en más detalle sobre la aplicación de estos vocablos en contextos IT o de seguridad probablemente exigiría un artículo por sí solo; sin embargo, baste decir aquí que usar el lenguaje apropiadamente es siempre esencial cuando se habla de riesgos.

¿QUÉ PUEDE OCURRIR? El terreno de la probabilidad y la posibilidad es otra área donde el risk management requiere mejorar respecto de otros ramos, debido entre otros factores a la subjetividad y la carencia de datos históricos. Un enfoque más maduro sería sustituir “probabilidad” (que en muchos casos no es más que una “adivinación cualitativa”) por “frecuencia” (que es una estimación cuantitativa y, de ordinario, respaldada por los datos). Como una comunidad adolescente en un subconjunto del área del control de riesgos, las IT obviamente no pueden confiar en tener pronto datos detallados de todos los retos en seguridad. Es de esperar que marcos como FAIR y el uso de tecnología bayesiana (un sistema probabilística) contribuyan a cubrir algunas de estas brechas, pero entretanto, mucho se avanza comenzando con esfuerzos internos por identificar las metas, pérdidas y eventos críticos.

Si se hacen a un lado los elementos básicos del control de riesgos, el verdadero salto está en aprender a dejar que más cosas sucedan. Al hablar con los tradicionalistas de la seguridad de la información, el pensamiento que surge luego de identificar el riesgo es, generalmente, mitigarlo, mientras que se suele discutir acaloradamente la transferencia de riesgos (que rara vez se toma en cuenta) y la aceptación de riesgos. Para ser justos, la mayoría de los mecanismos de transferencia se llevan a cabo fuera del reino técnico, o sea, se prefiere recurrir a los tribunales y a las aseguradoras, pero es un camino que todavía se debe explorar.

La aceptación, por otro lado, es algo que, desde luego, se entiende y realiza con frecuencia, aunque a menudo sólo en áreas que se consideran de bajo riesgo. Pero, ¿si la aceptación ocurriera más seguido? ¿Se acepta suficiente riesgo y en las áreas correctas? Puesto en el contexto de las iniciativas tácticas de seguridad, ¿la prevención de ataques de gusanos y virus contrarresta la necesidad de encriptar la información personalmente identificable? ¿La detección de intrusiones a través de la red reduce más el riesgo que procurar que todas las laptops tengan total encripción en el disco? ¿Se sabe qué sistemas son los más críticos y cuáles son más desprendibles, y se lleva esto a la práctica? ¿Dónde entra en todo esto el entrenamiento dado a los usuarios para que hagan conciencia? ¿Hay un equilibrio entre los esfuerzos por detener las estupideces y por detener el mal?

Si hubiera la oportunidad de decidir entre proteger todo, pero mal, y proteger unos cuantos activos, pero bien, ¿qué debería preferir el departamento IT? La historia indica que se ha preferido lo primero, aunque lo segundo sería mejor. Sin una forma efectiva de medir y comunicar los riesgos no es posible esperar tener una conversación efectiva sobre el tema y mucho menos tomar decisiones con cierta base. Tener una noción de los riesgos y emplearla consistentemente en las comunicaciones, desarrollar un proceso formal para identificar y cuantificar los riesgos, y correlacionar riesgos y activos, en términos que hagan sentido tanto para el negocio como para la gente IT, dará al departamento IT una mejor posibilidad de priorizar, de modo que se satisfagan las necesidades de todos los niveles de la organización.

SELECCIÓN INTELIGENTE. “Sé proactivo; no reactivo” es la frase que en el terreno IT y de seguridad viene repitiéndose desde hace algún tiempo. Por desgracia, al hablar con especialistas en seguridad de la información se llega a la conclusión de que muchas empresas siguen priorizando sus proyectos a partir de los incidentes que han padecido (o sea, siguen reaccionando).

Desde luego, ésta no es en sí una mala idea, como tampoco lo es que toda la empresa se interese; de hecho, conviene que así sea. Pero la agenda de seguridad de la compañía no debe ser gobernada por la tiranía del temor que impera luego de los incidentes. Dos riesgos notables se contraponen: los procedimientos tácticos y estratégicos, por un lado, y el malestar por andar siempre unos pasos detrás de las amenazas en evolución, por el otro.

¿Cómo romper este ciclo? Integrar más los procedimientos que se centran en el risk management puede contribuir, sin duda, a erradicar situaciones anómalas y establecer un proceso racional, metódico y defendible a la hora de tomar decisiones. Otra herramienta es insistir en que se establezca un plan que empareje los ejercicios tácticos de combatir el fuego, con la parte estratégica.
Por ejemplo, las vulnerabilidades de los sistemas operativos corrientes y del servicio –a menudo causa fundamental de gusanos, desconfiguraciones y robo ocasionales de datos– se pueden remediar mediante modernos procesos de control de las vulnerabilidades; con todo, los problemas de la seguridad de las aplicaciones no se entienden tan bien. Muchas organizaciones han lanzado iniciativas de seguridad de las aplicaciones sólo en los últimos 12 a 24 meses y muchas de estas aplicaciones están todavía en su infancia. Entre los procedimientos típicos están: el uso de escaneos de las aplicaciones Web, las mal denominadas “pruebas de penetración” en las aplicaciones (aunque, como sea, no deja de ser un procedimiento), las revisiones de código efectuadas por firmas de consultoría especializadas y las inversiones en tecnologías tipo “curita”, como son los “firewalls para las aplicaciones”. Si bien estos intentos son pasos en la dirección correcta, sin sus auxiliares estratégicos (como entrenar a los desarrolladores, integrar la seguridad al ciclo de vida del desarrollo del software y responsabilizar a los proveedores de software por las fallas en la seguridad asentándolo en cláusulas de los contratos), los equipos de seguridad continuarán tratando el síntoma sin llegara hasta la causa.
La evolución de la seguridad de las aplicaciones es sólo un ejemplo, aunque muy atinado. Las compañías que son conscientes de los riesgos dan pasos para asegurarse que todos los proyectos reciban inversiones en seguridad tanto táctica como estratégica.

… Y DE LAS DECISIONES IT TAMBIÉN. La tecnología, desde luego, desempeña un papel central en la seguridad de las IT. Con todo, hay elementos que indican que la comunidad anda algo perdida.

“Hay una horrorosa cantidad de pensamiento vago en seguridad IT, y tenemos incluso toda una doctrina que lo prueba: ‘Métele más tecnología…’, dicen. Tenemos que aplicar mucho más la imaginación y el pensamiento crítico a la resolución de problemas, que tener en todo una mentalidad circunscrita al producto o al grupo de productos”, considera Craig Balding, director del equipo técnico de seguridad de una de las 500 compañías globales de Fortune.

Como recapitulación, durante los primeros días de los mainframes, la gente IT puso gran fe en los nombres de usuario y los passwords como mecanismos adecuados de control de accesos. Lo extraño es que fue igual cuando llegaron el cómputo cliente-servidor y las redes basadas en IPX e IP.

Todos aprendieron varias lecciones, como que los nombres de usuario y las contraseñas no libran a nadie del mal. Esto condujo a la adopción de firewalls como nuevos salvadores en el control de accesos. Una vez más, la fe se acogió en dicha tecnología, y otra vez vino luego la decepción. Entonces pasamos algún tiempo negando la existencia en las vulnerabilidades del sistema operativo. Tanto los departamentos IT como los fabricantes ignoraron lo obvio, hasta que gusanos, spyware y explotación de los sistemas operativos los pusieron ante lo innegable. Lo que siguió fueron enormes inversiones en escaneo de vulnerabilidades y manejo de parches.

El viaje prosigue. Se invierten millones de dólares en sistemas de detección de intrusos (IDS) sin una comprensión sólida de su relativa efectividad y el costo total de propiedad. La locura de los IDS llevó a reinversiones en sistemas de detección de intrusos, que incluso hoy sólo están habilitados parcialmente.

Asimismo, la infraestructura de clave pública (PKI) suena a palabra soez en muchos círculos IT. No son pocas las decepciones en lo que respecta a otros productos. Los despliegues de sistemas de prevención de intrusiones (IPS) basados en hosts fueron a contrapelo. Por otro lado, todo el mundo parece frustrado con la falta de innovación de los antivirus. Se están desarrollando administradores de información de eventos de seguridad, pero son caros, al tiempo que los productos PSI y las “soluciones de seguridad en los extremos” rara vez cumplen las expectativas puestas en ellas.

No es de extrañar, entonces, que el comentario de muchos CISO sea: “Nuestro sistema de control de las vulnerabilidades funcionó estupendamente durante seis meses, y luego se fue por el caño”.

¿Es necesario archivar el asunto y decir que toda la tecnología de seguridad apesta? No, y como comunidad hay que aprender de los fracasos: los nombres de usuario y passwords se siguen usando, pero se requiere ser muy ingenuo para confiar en ambos elementos como único mecanismo de control. Ahora se crean procesos de parcheo y actualizaciones en todos los sistemas operativos e incluso, haciendo caso omiso del entusiasmo por el control del acceso a redes, los dispositivos comunes de redes cada vez están más habilitados para seguridad. La calidad del software comercial también ha mejorado, aunque sólo sea entre unos cuantos proveedores selectos.

Hay que seguir aprendiendo de los errores y adoptar estrategias innovadoras. Por principio de cuentas, es necesario vigilar la consolidación de los productos en su conjunto. A medida que la funcionalidad de la seguridad se convierte en el punto de diferenciación de los productos IT, la pregunta de si “¿esto es un producto o una característica?” se tiene que hacer una y otra vez.

Dada la gran exposición de datos a resultas del robo o pérdida de laptops, no debería sorprender que la encripción completa de discos (FDE) esté de moda. Si bien muchas organizaciones han invertido en suites de FDE sueltas, empiezan a aparecer otras opciones en productos IT comunes. Dos ejemplos: cierto número de modelos ThinkPad de Lenovo ahora se venden con una opción que contiene FDE mediante discos duros Seagate Momentus habilitados para encripción, y una opción FDE, conocida como BitLocker, se encuentra en versiones selectas de Windows Vista. Dada esta consolidación, las empresas inteligentes presionarán a sus proveedores para tomar en cuenta lo que han planeado en cuanto a introducir funcionalidades de seguridad en los dispositivos de infraestructura y en los sistemas de usuarios finales.

HACIA DELANTE. La tecnología y los productos siempre desempeñarán un papel en la seguridad, pero las ventajas serán mayores si se procede equilibradamente. ¿El control de acceso a redes tiene que tener prioridad sobre la menos atractiva tarea de cerciorarse de que todos los medios de respaldo están encriptados? ¿Serán más efectivos los intentos de desplegar detección de anomalías en el comportamiento de las redes, que garantizar que los procesos de aprovisionamiento y desaprovisionamiento de usuarios estén firmes como una roca? Y formular una estrategia de protección de los dispositivos móviles significará una mejor utilización del tiempo, que ir tras la fuente de incidentes derivados de los sistemas de detección y previsión de intrusos?

No hay nada malo, en sí, con ninguna de estas tecnologías, pero si no se hacen estas preguntas se caerá probablemente en las trampas que han acosado a las IT hasta ahora. Mirando hacia delante, todas las organizaciones deben adoptar procesos de risk management más formales. En realidad, el papel del director de riesgos (CRO, por sus siglas en inglés) se va imponiendo poco a poco en las organizaciones más conscientes de los riesgos.

Ahora bien, ¿qué partes de la seguridad de la información deberían ser de la incumbencia del CRO y cuáles quedarán bajo control de departamento IT? ¿La continuidad de recuperación ante desastres y la seguridad de la información están más estrechamente relacionadas de lo que se pensaba? Se ha comenzado a ver movimiento en todos estos frentes, pero el jurado no tiene idea todavía de lo que quedará, ni cuándo. Una cosa es segura: los profesionales IT o bien se vuelven mejores controladores de los riesgos o vendrá alguien y lo hará en su lugar.

EN ASCENSO
Costos de las intrusiones en las empresas
2005    $138
2006    $182
2007    $197

Nota: cifras en millones de dólares
Fuente: Encuesta del Ponemon Institute a 35 compañías que sufrieron intrusiones que acarrearon pérdida de datos personales durante 2007

TECNOLOGÍAS UNA VEZ IDOLATRADAS
No hay camino cierto hacia la seguridad. Algunas categorías de productos siguen vendiéndose, pero se ha visto que las funciones de muchas tecnologías antaño populares se han fusionado, mientras que otras sencillamente se desvanecieron

Nota: Las líneas seguidas indican que la tecnología sigue activa; las líneas de guiones muestran que la tecnología se sigue vendiendo, pero se está descontinuando; las líneas en diagonal señalan fusión de funcionalidades