Seguridad: Diseñar controles o vivir en el descontrol
En cierta medida, vivimos con un grado de tranquilidad de acuerdo a la sensación de seguridad que tengamos, y esa sensación de seguridad está estrechamente relacionado al funcionamiento de los controles.
Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa.
Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agua, entre otros.
Para los procesos que garantizan la seguridad de la información los controles son fundamentales y por ello es importante entenderlos. Estos mitigadores de riesgos deben cumplir con ciertas características:
Una vez identificado el o los objetivos de control, tenemos la tarea de diseñar el control. No podemos andar por la vida creando "controles" con diseños que no permite cumplir su objetivo, sería una inversión innecesaria tanto de esfuerzo, como de tiempo y posiblemente dinero (mucho dinero), que da como resultado el descontrol.
Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa.
Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agua, entre otros.
Para los procesos que garantizan la seguridad de la información los controles son fundamentales y por ello es importante entenderlos. Estos mitigadores de riesgos deben cumplir con ciertas características:
- Tener un objetivo (Objetivo de control).
- Estar diseñado adecuadamente.
Objetivo de control
El objetivo, es la razón de ser de un control, de ahí nace la necesidad de controlar algo. Lo adecuado es realizar un análisis de riesgo que nos permita identificar el nivel de riesgo al que estamos expuesto y así saber:- ¿Qué queremos proteger? Debemos saber qué activo específicamente queremos proteger, puede ser la información, la vida de una persona, bienes inmuebles, entre otras cosas que nos resulte importante.
- ¿De qué nos queremos proteger? OK, identificamos qué queremos proteger, por ejemplo, la información, pero de cuál amenaza? Queremos proteger la información de alguien que no esté autorizado y la pueda ver o modificar, o queremos protegerla de su deterioro durante el paso del tiempo (si tenemos la información en un papel por ejemplo).
- ¿Por qué deberíamos tener un control? Este apartado es importante, porque nos permite identificar la necesidad de negocio. Si no tenemos una justificación válida para qué invertir en un control.
Diseño
El descontrol es eso que suele pasar cuando sin pensarlo empezamos a implementar medidas de mitigación (controles) que no cumplen con el objetivo deseado, pero parecen hacerlos. Esto es muy peligroso porque nos da una falsa sensación de seguridad (Mucho cuidado).
Insisto, el control debe cumplir con su objetivo, ser viable económicamente (no debería ser más costoso que el activo que queremos proteger) y además debe tener un registro, un indicador con el cual podamos medir su efectividad, porque como en algún lado leí, lo que no se registra no se puede medir, y lo que no se mide no se puede mejorar (o algo así, ya no recuerdo).
En cuanto al diseño les traigo un ejemplo bien emblemático (para mi) de como un diseño puede cambiar en el tiempo.
Recientemente la NIST (National Institute of Standards and Technology, nada más y nada menos), saco una actualización de un estándar, en donde cambia varios paradigma de sus estándares de contraseñas (En realidad Digital Identity Guidelines) que desde hace mucho tiempo se han utilizado. En pocas palabras, se dieron cuenta que el diseño que recomendaban en sus estándares era ineficaz y se dedicaron a cambiarlo.
Un ejemplo de la actualización del estándar NIST es que no es necesario cambiar la contraseña regularmente, lo importante es que esta sea confidencial (wow que novedad). Si cambiamos la contraseña cada cierto tiempo, pero hacemos como muchos (me incluyo), que dejamos la misma clave pero cambiamos un numero de manera incremental, no estamos haciendo nada (Aquí les dejo una presentación que hizo Jim Fenton con un acercamiento más humano).
Durante el diseño del control o incluso dentro de su objetivo (depende como lo veamos) es importante identificar si con el mismo queremos/debemos prevenir cierto evento, lo vamos a identificar o por el contrario, seremos reactivos ante una amenaza materializada, de ahí podemos desprender una clasificación de controles.
Tenemos una laptop/computador personal (activo), que dentro de las amenazas a la que está expuesta se encuentra el hurto (amenaza) y no queremos arriesgarnos a perder el dinero que representa ese activo ni el impacto en el proceso en el que se encuentra involucrado (mini justificación de negocio).
Podríamos implementar muchos controles (tantos como nuestra imaginación nos permita, he visto cada cosa), pero si queremos hacerlo bien debemos enfocarnos en nuestro objetivo y diseñarlo en base a ello. Listemos los controles por su clasificación e identifiquemos si son eficientes o no:
Con el ejemplo del cambio del estándar NIST surge algo bien interesante, y es que el control que funcionó ayer, pueda que hoy no sea del todo efectivo y ahí entra en juego un mundo bien interesante y es la prueba de los controles (testing). Como este post ya quedó bien largo (para variar) dejaré la prueba de controles para un nuevo post, así que por ahora me despido. Saludos!!!
NOTA: La prueba de controles en un gran nicho de mercado de las firmas auditoras ;)
Insisto, el control debe cumplir con su objetivo, ser viable económicamente (no debería ser más costoso que el activo que queremos proteger) y además debe tener un registro, un indicador con el cual podamos medir su efectividad, porque como en algún lado leí, lo que no se registra no se puede medir, y lo que no se mide no se puede mejorar (o algo así, ya no recuerdo).
En cuanto al diseño les traigo un ejemplo bien emblemático (para mi) de como un diseño puede cambiar en el tiempo.
Recientemente la NIST (National Institute of Standards and Technology, nada más y nada menos), saco una actualización de un estándar, en donde cambia varios paradigma de sus estándares de contraseñas (En realidad Digital Identity Guidelines) que desde hace mucho tiempo se han utilizado. En pocas palabras, se dieron cuenta que el diseño que recomendaban en sus estándares era ineficaz y se dedicaron a cambiarlo.
Un ejemplo de la actualización del estándar NIST es que no es necesario cambiar la contraseña regularmente, lo importante es que esta sea confidencial (wow que novedad). Si cambiamos la contraseña cada cierto tiempo, pero hacemos como muchos (me incluyo), que dejamos la misma clave pero cambiamos un numero de manera incremental, no estamos haciendo nada (Aquí les dejo una presentación que hizo Jim Fenton con un acercamiento más humano).
Durante el diseño del control o incluso dentro de su objetivo (depende como lo veamos) es importante identificar si con el mismo queremos/debemos prevenir cierto evento, lo vamos a identificar o por el contrario, seremos reactivos ante una amenaza materializada, de ahí podemos desprender una clasificación de controles.
Tipos de controles
- Controles preventivos: como su nombre lo indica, el objetivo principal de este control es prevenir/evitar la materialización de una amenaza y por lo tanto incide directamente en la probabilidad de que ocurra (Variables del riesgo).
- Controles reactivos: en contraposición a los controles preventivos, este control tiene cabida una vez ocurre el evento que nos amenazaba, e incide directamente en el impacto del riesgo, ya que su objetivo es limitar, contener o disminuir las consecuencias negativas.
- Controles detectivos: a diferencia de los tipos de controles anteriores, que previenen una amenaza o reaccionan ante ella, este control tiene el objetivo de identificarla una amenaza potencia (monitorio o registro de eventos), antes de que se materialice o después (Claramente sería ideal que fuera antes). Este tipo de control por sí solo no tiene ningún valor si no está asociado a un control reactivo o preventivo.
OJO: Ante una amenaza siempre podemos tener un control reactivo, pero no siempre podremos tener acciones preventivas o de monitorio, ya que no todo se puede prevenir o monitoria eficientemente.
EJEMPLO:
Como todo suele ser más fácil con un ejemplo (para mí lo es), y para cerrar este post (al fin), aquí vamos con uno bien sencillo (como me gustan):Tenemos una laptop/computador personal (activo), que dentro de las amenazas a la que está expuesta se encuentra el hurto (amenaza) y no queremos arriesgarnos a perder el dinero que representa ese activo ni el impacto en el proceso en el que se encuentra involucrado (mini justificación de negocio).
Podríamos implementar muchos controles (tantos como nuestra imaginación nos permita, he visto cada cosa), pero si queremos hacerlo bien debemos enfocarnos en nuestro objetivo y diseñarlo en base a ello. Listemos los controles por su clasificación e identifiquemos si son eficientes o no:
- Controles preventivos: Fijar el computador mediante una cuerda o utilizar un candado que incluya llave o código de seguridad. Como podrán notar, el utilizar una cuerda no es efectivo ya que cualquier persona con una tijera o cuchillo lo podría cortar, en cambio el candado cumpliría mejor nuestro objetivo, ya que sería más difícil su violación (Claro si no dejamos la llave o la contraseña escrita a un lado). Ahora, y si les digo que el candado tiene un valor mayor al del equipo, que harían? tarea para la casa.
- Controles reactivos: Para disminuir el impacto económico de la pérdida, podríamos contratar un seguro, que en caso de hurto nos devuelva un porcentaje del valor del equipo, también podríamos desarrollar planes y sistemas que nos ayuden en su recuperación. En este caso seriamos ineficientes si el dinero que nos devuelve el seguro no es significativo en relación al valor del activo o si la inversión que estamos haciendo para recuperar el equipo es mucho mayor a su valor o tiene una muy baja probabilidad de recuperación.
- Controles detectivos: Podríamos incluir en la ubicación del equipo sensores de movimientos, cámaras, infrarrojos y cualquier otra ocurrencia que el dinero nos permita, pero valdría la pena tal inversión? Si fuera necesaria tal inversión, pero no hacemos nada con la alerta/notificación que estamos recibiendo de esos sensores o cámaras, sería un control totalmente ineficiente.
Con el ejemplo del cambio del estándar NIST surge algo bien interesante, y es que el control que funcionó ayer, pueda que hoy no sea del todo efectivo y ahí entra en juego un mundo bien interesante y es la prueba de los controles (testing). Como este post ya quedó bien largo (para variar) dejaré la prueba de controles para un nuevo post, así que por ahora me despido. Saludos!!!
NOTA: La prueba de controles en un gran nicho de mercado de las firmas auditoras ;)
Espero pronto publiques sobre la prueba de controles...
ResponderEliminar