Todo el mundo dice que no hay seguridad al 100%. Pues así empezamos derrotados. Imagínese que quiere construir una casa y viene un constructor encantado y le dice, puedo construirle una casa pero no puedo garantizar que no se derrumbe, ¿lo contrataría? Es una realidad que estamos sujetos a ciberataques todos los días, pero esto no quiere decir que aceptemos la derrota como una posibilidad. El cerdito que construyó la casa que no derribó el lobo es un campeón. Nosotros también podemos derrotar a nuestros enemigos.
De la misma forma, imagínese que el Servicio Secreto le dice a Donald Trump: “No podemos garantizar su seguridad, señor presidente”. El trabajo del Servicio Secreto es garantizar la seguridad del presidente mientras le permite realizar su trabajo, como tener reuniones, viajar, hacer campaña y bombardearnos con tuits escandalosos. Aun habiendo convencido a los altos directivos de que no podemos garantizar el 100% de seguridad, cuando haya una brecha de seguridad, ¿quién será despedido? Lo único seguro es que los altos directivos conservarán su cargo.
Al resignarse a que no exista una seguridad al 100%, las organizaciones terminan invirtiendo menos de lo que deberían en ciberseguridad, o crean una ciberdefensa abocada al fracaso. Creer que no se puede lograr el 100% de seguridad nos empuja a crear procedimientos defectuosos. Y eso nos lleva a rendirnos y sacar la bandera blanca. Nos preparamos para el fracaso antes de empezar. A los ciberdelincuentes les encanta eso. Pero lo más divertido es que hay fabricantes de soluciones de ciberseguridad que utilizan el miedo como argumento de venta. Por un lado, nos dicen que sus soluciones nos dan una seguridad completa, pero por otro lado nos dicen no hay nada que pueda garantizar el 100% de seguridad.
Índice de temas
Garantizando la ciberseguridad
Según una encuesta de Marsh-Microsoft publicada en octubre de 2019, solo el 11% de los 1500 encuestados dijeron que tenían un alto grado de confianza en la capacidad de su organización para evaluar, prevenir o responder a las amenazas cibernéticas. Entonces, ¿por qué nuestros jefes deberían confiar en nosotros, cuando nosotros mismos, como profesionales de ciberseguridad, les decimos que no podemos lograr el 100% de seguridad?
Si no se puede garantizar el 100%, ¿cuánta seguridad se puede garantizar, 10%, 50%, 80%, 90%? ¿sabemos cómo medirla? ¿Lo ha hecho alguna vez? Puede ser que sí, o puede ser que no. En caso de encontrar vulnerabilidades, podemos asumir que habrá procedido a solucionarlas gracias a un plan y una política de seguridad bien documentados, que ha permitido realizar un análisis de riesgos. Pero un análisis de riesgo dista mucho de ser un análisis de seguridad. En el arte, el resultado final es algo bello, mientras que, en la ciencia, la belleza está en la efectividad de los medios que utilizamos para alcanzar los resultados finales.
Como profesionales de la ciberseguridad, somos científicos. No somos artistas. Por lo tanto, debemos usar la ciencia para definir nuestra estrategia de ciberdefensa. Por suerte, a un solo clic de nosotros tenemos las herramientas científicas necesarias. Casi todas estas premisas vienen de la metodología Open Source Security Testing Methodology (OSSTMM), un sistema donde hay que aplicar el pensamiento crítico, y por tanto la ciencia, para medir la seguridad.
No voy a discutir si es o no es posible alcanzar el 100% de seguridad. La verdad es que la causa de la mayoría de las brechas de seguridad en empresas como SONY, Target y muchas entidades españolas cuyos nombres no voy a mencionar, es la mala gestión e insuficiente inversión, y no la inexistencia de buenas soluciones y de procedimientos de seguridad. Como profesionales de ciberseguridad, no tenemos que estar predestinados al fracaso.
Analizando la superficie de ataque
Existen diferentes metodologías para calcular el nivel de seguridad. El OSSTMM, anteriormente mencionado, brinda una forma verificable de evaluar y medir la seguridad. Si el resultado es inferior al 100%, la metodología ayuda a identificar los puntos débiles para que puedan ser enmendados, y si es superior al 100%, existe demasiada seguridad, lo cual es ineficiente.
El análisis de riesgos no es lo mismo que el análisis de seguridad. En el análisis de seguridad nunca se analiza el riesgo, mientras que el análisis de riesgos asume que se conocen todas las amenazas detectadas y cuándo se sufrirá un ataque. En el análisis de seguridad, uno estudia y mide la superficie de ataque de un posible objetivo y su entorno, que es precisamente lo que hace un hacker malicioso. Busca los puntos débiles y los explota con cualquier herramienta que pueda encontrar y, por supuesto, no hace un análisis de riesgos para montar el ataque.
El análisis de seguridad garantiza que los controles correctos estén en su lugar y que funcionan como deben. Se llama Seguridad operacional “OpSec”. Según OSSTMM, la seguridad correcta es una ecuación perfectamente equilibrada que se obtiene al calcular la superficie de ataque + limitaciones + vulnerabilidades contra los controles. Existe una formula científica para calcular la seguridad adecuada con precisión:
Mi propósito en este articulo no es mostrar cómo se puede obtener científicamente el 100% de seguridad, esto es una tarea que se debe realizar a medida en cada organización. Mi objetivo es mostrar lo perjudicial que es creer que no se puede lograr el 100% de seguridad. Como profesionales de ciberseguridad debemos tener confianza en nosotros mismos para hacer mejor nuestro trabajo. Y para que nuestros jefes tengan confianza en nosotros y hagan las inversiones adecuadas en ciberseguridad.
