Sufre usted de un principio de securosis.
– ¿Es grave, doctor?
– Sí, y sus síntomas pueden agravarse si va ud. al Sec&Beer.
Siguiendo la estela de un tweet de @odlyoly llegué a este artículo de securosis sobre los principios de seguridad que Rich Mogull ha recogido en sus veinte años de experiencia en el sector. Los traduzco a continuación:
  1. No esperes que cambie el comportamiento humano. Nunca.
  2. No puedes sobrevivir únicamente con defensa.
  3. No todas las amenazas son iguales, y todos los checklists son erróneos.
  4. No puedes eliminar todas las vulnerabilidades.
  5. Sufrirás intrusiones.

Uff. Vaya tela. Son interesantes. Puedes estar más o menos de acuerdo, pero parecen mucho mejores (y más prácticos) que otros diseñados por organismos internacionales.

Voy a comentarlos por separado, utilizando la propia explicación en la página y lo que se me ha ido ocurriendo, al leerlos.

El factor humano

Los humanos son complejos. En el diseño de controles hay que tener eso en cuenta. Así como en la presentación de iniciativas de seguridad.

"Os maldigo a todos"

Sobre cómo vender seguridad internamente y la importancia de apelar al ‘factor humano’ ya discutimos hace poco.

Respecto a considerar sociología y psicología en el diseño de controles de seguridad, os recomiendo leer ‘The new school of information security’ y ‘Managing the human factor in information security’.

Lo que está claro es que los humanos no somos ‘programables’ de una forma sencilla. No puedes esperar publicar una norma y que todo el mundo se la lea y la cumpla felizmente. Igualmente, tienes que considerar que el ser humano se adapta. Si tu control es molesto intentará evitarlo como sea. Si es complejo se encargará de buscar una forma de hacerlo más sencilla. Creo que a todos se nos ocurren muchos ejemplos.

En definitiva, adaptate al comportamiento humano de tu entorno, no esperes que cambie así por las buenas.

Más vale prevenir

Aparte de implantar mecanismos de defensa, también conviene implantar mecanismos de ‘inteligencia’ para conocer y evitar las posibles amenazas. Lo que dice Rich es que, una vez has recibido un ataque, tus medidas de defensa ya han fallado, por lo que ya no puedes depender de ellos.

Mientras más se conozca del entorno y de los ‘movimientos’ de los posibles agentes amenazantes (ya sean humanos o no) y se reacciona según esta información, mejor. No puedes sobrevivir únicamente con defensa.

Todo depende

Aunque yo no soy muy partidario (vale, nada partidario) de las metodologías de análisis de riesgos arcaicas tradicionales, sí creo que las medidas de seguridad tienen que responder a los riesgos a los que está expuesta la organización.

Y está claro que no todas las organizaciones son iguales ni sufren de los mismos riesgos ni la percepción del mismo es igual para todas. Por lo tanto, checklists que se hagan para una situación no tienen por qué ser válidos para cualquier otra. Es más, ni siquiera tienen por qué ser válidos pasado un tiempo, en el que haya cambiado esa situación.

Y ya sabemos todos que un mono con un checklist no es capaz ni de hacer una auditoría (bueno, es capaz, pero no va a aportar mucho valor). Hay que entender los riesgos… y eso no es fácil. Rich propone que te hagas un experto en esos riesgos, que realmente nadie conoce. Y no me extraña.

No todas las amenazas son iguales, y todos los checklists son erróneos.

La 100-ésima ventana

Por mucho que te empeñes no vas a poder subsanar todas las vulnerabilidades que conoces y seguramente haya otras que no conoces. Además, nuevas vulnerabilidades se descubren día a día, por lo que mantenerse actualizado es difícil.

100th window de Massive Attack

Además, arreglar vulnerabilidades, aunque necesario, es ir por detrás de la amenaza. Sería mejor implantar soluciones para evitar que se exploten amenazas, en vez de ir arreglando las vulnerabilidades que vayan saliendo.

0wned

Debido a que, tarde o temprano sufrirás una intrusión, tienes que prepararte para detectarla y reaccionar. Según Rich, el control más importante es la respuesta a incidentes rápida y efectiva.

La verdad es que poco se dedica a reaccionar o actuar frente al conocimiento que se tiene. Y es una pena. Porque muchas veces nos quedamos en análisis parálisis. Establecer los mecanismos para conseguir una rápida respuesta debe ser una de las prioridades de cualquier equipo de seguridad.

Recuerda, sufrirás intrusiones.

Colofón

Este listado condensa lo que este hombre ha aprendido en sus veinte años de dedicación a la seguridad de la información. Y no es poco. ¿Qué os parece? ¿Os identificáis con sus principios?