Aunque lo parezca, no voy a escribir sobre las predicciones en seguridad que no se van a cumplir para el año que viene.

Hoy quiero hablaros de algo de lo que no hablaba desde hace tiempo (eso que os habéis ahorrado). Y es que recientemente me he visto involucrado en asuntos sucios como cumplimiento del ENS o… el motivo del post de hoy, el análisis de riesgos.

Pero esta vez no voy a quejarme demasiado sino que os voy a contar de la forma más directa posible qué pienso realmente de las metodologías de análisis de riesgos: sólo sirven para predecir lo obvio.

ni un análisis de riesgos para implantar lo obvio

Veamos, lanzo la pregunta abierta siguiente: ¿para qué necesito un análisis de riesgos? Yo pienso que sólo sirven : para decirme cosas que ya sé.

No necesito un análisis de riesgos para que me diga que tengo que poner en alta disponibilidad el cortafuegos, es obvio.

No necesito un análisis de riesgos para saber que tengo que cumplir la legislación o tarde o temprano me pillarán, es obvio.

No necesito un análisis de riesgos para implantar copias de seguridad o algún día perderé algo importante, es obvio.

No necesito que un análisis de riesgos me diga que tengo que hacer auditorías de seguridad web, si no lo hago, alguien encontrará las vulnerabilidades por mí, es obvio.

No necesito un análisis de riesgos para saber que hay que intentar concienciar a los usuarios, es obvio.

No necesito un análisis de riesgos para obligar a los usuarios a elegir contraseñas que no sean fáciles de adivinar, es obvio.

(…)

Entonces… ¿para qué hago un análisis de riesgos? ¿Para convencer a alguien cuadriculado para que suelte el dinero para esas cosas? Igual, pero entonces es mejor elaborar un informe descriptivo en el que se analice la situación y no liarse a rellenar valores aleatorios en una aplicación de pseudociencia.

Lo que no niego es que el análisis de riesgos genera en los ‘gestores’ cierta fascinación, como si de verdad estuvieran desvelando el secreto de la naturaleza a través de ese análisis que les descarga de la necesidad de decidir en base a opiniones de ‘expertos’, cosa que, aparentemente, está muy mal vista.

¿Hay alguien que, de verdad, haya sacado partido de este tipo de análisis? (Mañas, tú no vales que ya sabemos qué partido sacas de todo esto).

Pues coincidiendo con la venida de la nueva versión de MAGERIT (la v3) el otro día se me cruzó esta canción de Sabina. Como todos sabréis Magerit es el nombre en castellano antiguo de Madrid.

Así que me parece más que apropiado pervertir esta canción hacia el lado de la seguridad. Así que, aquí tenéis la letra. Es importante que la cantéis siempre que os toque un proyecto de análisis de riesgos, a modo de inspiración.

Allá donde me invento los valores
Donde el rigor no se puede concebir
Donde nos hace falta un numerólogo
Pongamos que hablo de MAGERIT

La seguridad habita en hojas Excel
La realidad se olvidó de intervenir
Luego no hay nadie que lo entienda
Pongamos que hablo de MAGERIT

Las amenazas ya no quieren ser precisas
Los controles imposibles de cumplir
El riesgo es una formula macabra 
Pongamos que hablo de MAGERIT

Mañas debería ir al psiquiatra
La verdad, no entiendo lo del CNI
Como se han creído esta patraña
Pongamos que hablo de MAGERIT

Cuando hagas análisis de riesgos
No se te ocurra usar PILAR
Que nunca le ha servido a nadie
Pongamos que hablo de MAGERIT

Y para terminar, una reflexión, ¿de verdad necesitábamos una v3?, si total…

Este lunes va dedicado al dudoso arte del cálculo matemático de riesgos. Para todos aquellos a los que les gusta el análisis de riesgos (ergo, no se han puesto en serio a hacerlo) y para aquellos que alguna que otra vez nos hemos tenido que remangar para hacerlos (y, por lo tanto, hemos descubierto la horrible verdad que hay detrás de las caritas sonrientes de PILAR).

Particularmente me han inspirado los niveles de rigurosidad del análisis de riesgos en el Esquema Nacional de Seguridad:

  • Para nivel básico piden “un análisis informal, realizado en lenguaje natural
  • Para nivel medio piden “un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida
  • Para nivel alto piden “un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente

Desde el Sec&Beer solicitamos la leve modificación del Real Decreto que sustituya matemático por numerológico para nivel alto, reflejando así mucho mejor la realidad.

Sería algo así: “un análisis formal, usando un lenguaje específico, con un fundamento numerológico reconocido internacionalmente“. Ahí queda.

Buscando MAGERIT en Google, la primera página que me sale es una del colegio oficial de ingenieros de telecomunicación dedicada a esta entrañable metodología típicamente española.

Me llamó la atención el final de la página, el epígrafe titulado ‘Foro MAGERIT‘. Particularmente, este apartado:

En este marco, se hace una invitación muy especial a todos aquéllos que hayan utilizado MAGERIT, lo conozcan o incluso quienes lo hayan desechado, a compartir sus experiencias y razones, para entre todos contribuir a una futura versión 2.0 que mejor responda al cambiante entorno de la tecnología de la información. http://foro.map.es” (las negritas son mías)

Supongo que habréis pensado lo mismo que yo: “Oh ¡Dios mío! Un foro de MAGERIT donde escribe gente que lo ha intentado usar. Es demasiado bueno para ser cierto”. Y claro, como todas las cosas demasiado buenas para ser ciertas…


Si pinchas en el enlace te lleva a un portal de administración electrónica del ministerio de política territorial y administración pública :(. En este portal puedes encontrar información sobre MAGERIT, el ENS y otras historias del Gobierno.

Sin embargo no he visto ningún foro de MAGERIT, sólo uno de ‘administración electrónica’. A lo más que llegas es a poder ‘opinar’ en la sección de MAGERIT, pero nadie parece haberlo hecho. Bueno, de hecho, el portal parece un poco desangelado. La encuesta es algo chufla. Casi nadie ha hecho valoraciones de las diferentes secciones. Aún así la sección de MAGERIT está la 18 de 20 en el ranking de valoración :).

Lo más gracioso de todo es que digan “o incluso quienes lo hayan desechado“, como si fuera algo inusual. Yo hubiera puesto más bien “o incluso a quiénes les haya sido útil“. Eso sí que sería raro.