Hace tiempo que no escribo nada. Disculpadme, motivos personales y profesionales me tienen disperso. Algunos de estos motivos son positivos y otros no tanto. Entre los positivos (como algunos sabéis) está que me matriculé en la UNED para estudiar el grado de Psicología y he estado las últimas semanas centrado en aprobar los primeros exámenes…

Por cierto, en el último examen me encontré con otro de los miembros de nuestro selecto club de la seguridad y las cervezas… así que en la próxima quedada creo que vamos a poder discutir sobre algunos temas interesantes.

Después de este primer semestre se van confirmando mis sospechas: “el enfoque de otras disciplinas puede enriquecer mucho la gestión de la seguridad”.

Como comprenderéis, aun no tengo ni idea de psicología y solo he empezado a sumergirme en algunas de las teorías que componen este marco de estudio científico. Poco a poco voy conociendo conceptos que no puedo evitar relacionar con el día a día de la gestión de la seguridad. Si consigo disponer del tiempo suficiente trataré de compartirlos con vosotros y si algún psicólogo nos lee y ve que digo burradas que arroje luz por favor!!

El de hoy es el concepto de Indefensión aprendida:

Es un proceso que tiene lugar cuando un organismo aprende que sus respuestas y los reforzamientos son independientes, llevando al organismo a un estado de incapacidad percibida de resolver las situaciones de amenaza. La indefensión tendría lugar cuando se pierde el control de las consecuencias del propio comportamiento.

Cuando una persona o un animal se enfrentan a una amenaza o una pérdida, aparece la respuesta de estrés asociada al miedo. Si aprenden que la respuesta no es controlable y tiene lugar la indefensión aprendida, la depresión sustituye al miedo, es decir que las situaciones no controlables generan estrés.

Seguramente el vídeo del principio del post os deje más claro el concepto.

Yo me pregunto si esta teoría explica la conducta de muchos gestores TI que no hacen nada por mejorar la seguridad de sus servicios e información. Sabemos que la seguridad al 100% nunca se consigue y que aunque una organización gestione adecuadamente su seguridad se producirán incidentes. Además en muchas ocasiones los responsables TI no están formados y capacitados para una gestión integral y metodológica de la seguridad, lo que se traduce en acciones puntuales, no planificadas, artificiales y contratadas a proveedores que muestran poco interés en algo que no sea trincar el dinero y salir corriendo al próximo cliente.

En definitiva tenemos personas que dan respuestas (más o menos adecuadas) a amenazas y que perciben que los resultados siguen siendo incontrolables: continúan produciéndose incidentes. Aparece la indefensión aprendida y el miedo/acción se transforma en depresión/inacción/resignación…

Si esto es así… ¿qué sentido tiene que en cada una de las presentaciones comerciales y charlas de concienciación se siga usando el miedo para provocar la acción?

¿¿Le veis sentido o es una paja mental???

 

 

Mojon

Buenas y calurosas tardes de verano… hace unos días leí un magnifico post de Jack DanielInfoSec’s misunderstanding of business.

Quizá no sea tan magnifico, pero es una de esas veces en las que lees escrito algo que tu piensas y dices “eehh que no estoy solo. No soy el único que ve al rey desnudo.”

Como tengo poco más que añadir me voy a limitar a traducir aquí el post (para aquellos a los que no les apetezca leer en la lengua de Shakespeare y la reina madre que los pario).

Infosec, malentendiendo el negocio

Lo habrás oído hasta la saciedad, “si nosotros profesionales de la seguridad queremos ser tomados en consideración, debemos comprender el negocio y hablar del valor de la empresa, y bla, bla, bla”. Esto, amigos míos, es mierda. Una todavía humeante mierda en el prado en una mañana de primavera.

¿Quieres avanzar en tus objetivos? Necesitas comprender la codicia y el miedo, la codicia y el miedo de los que controlan los recursos. Entender el negocio de tu organización solo funciona si los lideres de tu organización lo entienden también y no están atados y/o cegados por los objetivos mensuales/trimestrales.

¿No me crees? Echa un vistazo a la industria bancaria, o a la industria americana del automóvil y a cualquier área que conozcas. La gente que conoce el negocio vio el tren venir y trataron de avisar y alertar sobre ello, pero fueron ignorados o algo peor. Comprender el negocio solo conduce a la frustración, porque los que dirigen la organización, ni entienden el negocio (aunque tengan MBAs) ni se les permite actuar para el beneficio de la organización en el largo plazo.

Si quieres mejorar la seguridad de tu organización, debes comprender como funciona tu organización, no como debería funcionar. Tienes que conocer lo que alimenta y lo que asusta. Y por desgracia esto no suele tener que ver con el negocio de la organización.

Sí, ya se que suena un poco amargo y deprimente, pero está bien. El sistema está roto lo justo para funcionar (exactamente igual que la seguridad de la información).

Plas, Plas, Plas, ¡aplauso sonoro! A mi también me da la risa cuando se nos llena la voca hablando del enfoque al negocio de la seguridad de la información. ¡Pero qué negocio ni qué niño muerto! Si aquí el único negocio es el “coge el dinero y corre”…

Si lo se…  yo también estoy muy negativo, llevo un tiempo pensando que necesito un cambio de aires, pero aun no me veo capaz de mantener mi propio huerto… Todo se andará.

 

 

En la tarde de ayer repusieron El club de los poetas muertos en una de las decenas de cadenas que emiten en TDT.

Al volver a ver la escena que os enlazo arriba, no pude evitar hacer mentalmente el paralelismo entre el discurso de Keating sobre el estudio de la poesía con los Sistemas de Gestión de la Seguridad.

No se trata de tuberías, hablamos de poesía…” Amén, eso mismo digo yo.

Así qué… cojan la ISO 27000 y… “quiero que arranquen esa página…” ,”…en trocitos pequeños, que no quede nada“.

La moraleja, (para responsables de seguridad): aprended a pensar por vosotros mismos… tirad vuestras ISO’s y sacad del cajón vuestra experiencia, vuestro sentido común y vuestra intuición… y por favor, poned un poco de pasión.

No olvides nunca “… que prosigue el poderoso drama y que tu puedes contribuir con un verso, ¿cuál sería su verso?”

Los estándares de seguridad tienen como fin último que se mejore la seguridad de las organizaciones implantando un conjunto de buenas prácticas.

El problema es que suelen publicar textos complejos que incluyen controles a diferentes niveles y que están muy enfocados a auditoría, más que a implantación.

Muchas organizaciones se pelean por cumplir determinados requisitos de estos estándares sin adaptarlos adecuadamente a su situación por aquello de pasar la auditoría. Y se confunden los objetivos: en vez de mejorar la seguridad se busca convencer al auditor (como si eso sirviera para algo) o malinterpretar los textos.

El otro día se me vino a la mente la idea de ¿qué es realmente esencial en los sistemas de gestión que proponen los estándares de seguridad?

Creo que, en el fondo, todo se reduce a estos dos puntos:

  • Preguntarse por qué (hasta llegar a la causa raíz) de incidentes, vulnerabilidades, ausencia de control, necesidades, riesgos o cualquier otro evento o situación que afecte de algún modo a la seguridad
  • Proveer de los medios para evitar que vuelva a ocurrir (o, más bien, que la probabilidad o impacto se reduzcan)

La ventaja de esta forma de pensar es que reduces estática mental y te concentras en lo principal, el resto ya llegará.

Si en tu búsquedas del porqué llegas a la conclusión de que necesitas apoyo de la Dirección, pues lo pides. Si llegas a la conclusión de que hace falta implantar un plan de contingencia pues buscas apoyo y recursos y, si lo consigues, lo implantas. Si necesitas realizar auditorías externas para comprobar si la cosa va bien, lo justificas y las contratas.

Lo importante es que cada acción está justificada mediante un simple proceso y corresponde a una necesidad ‘real’ en vez de que la necesidad sea ‘porque lo dice tal estándar’. Si usas la última justificación siempre te pueden decir aquello de ‘el estándar me lo paso por…’.

No sé si me he explicado del todo bien. En un próximo post entraré algo más en detalle en el análisis de causas.

Sufre usted de un principio de securosis.
– ¿Es grave, doctor?
– Sí, y sus síntomas pueden agravarse si va ud. al Sec&Beer.
Siguiendo la estela de un tweet de @odlyoly llegué a este artículo de securosis sobre los principios de seguridad que Rich Mogull ha recogido en sus veinte años de experiencia en el sector. Los traduzco a continuación:
  1. No esperes que cambie el comportamiento humano. Nunca.
  2. No puedes sobrevivir únicamente con defensa.
  3. No todas las amenazas son iguales, y todos los checklists son erróneos.
  4. No puedes eliminar todas las vulnerabilidades.
  5. Sufrirás intrusiones.

Uff. Vaya tela. Son interesantes. Puedes estar más o menos de acuerdo, pero parecen mucho mejores (y más prácticos) que otros diseñados por organismos internacionales.

Voy a comentarlos por separado, utilizando la propia explicación en la página y lo que se me ha ido ocurriendo, al leerlos.

El factor humano

Los humanos son complejos. En el diseño de controles hay que tener eso en cuenta. Así como en la presentación de iniciativas de seguridad.

"Os maldigo a todos"

Sobre cómo vender seguridad internamente y la importancia de apelar al ‘factor humano’ ya discutimos hace poco.

Respecto a considerar sociología y psicología en el diseño de controles de seguridad, os recomiendo leer ‘The new school of information security’ y ‘Managing the human factor in information security’.

Lo que está claro es que los humanos no somos ‘programables’ de una forma sencilla. No puedes esperar publicar una norma y que todo el mundo se la lea y la cumpla felizmente. Igualmente, tienes que considerar que el ser humano se adapta. Si tu control es molesto intentará evitarlo como sea. Si es complejo se encargará de buscar una forma de hacerlo más sencilla. Creo que a todos se nos ocurren muchos ejemplos.

En definitiva, adaptate al comportamiento humano de tu entorno, no esperes que cambie así por las buenas.

Más vale prevenir

Aparte de implantar mecanismos de defensa, también conviene implantar mecanismos de ‘inteligencia’ para conocer y evitar las posibles amenazas. Lo que dice Rich es que, una vez has recibido un ataque, tus medidas de defensa ya han fallado, por lo que ya no puedes depender de ellos.

Mientras más se conozca del entorno y de los ‘movimientos’ de los posibles agentes amenazantes (ya sean humanos o no) y se reacciona según esta información, mejor. No puedes sobrevivir únicamente con defensa.

Todo depende

Aunque yo no soy muy partidario (vale, nada partidario) de las metodologías de análisis de riesgos arcaicas tradicionales, sí creo que las medidas de seguridad tienen que responder a los riesgos a los que está expuesta la organización.

Y está claro que no todas las organizaciones son iguales ni sufren de los mismos riesgos ni la percepción del mismo es igual para todas. Por lo tanto, checklists que se hagan para una situación no tienen por qué ser válidos para cualquier otra. Es más, ni siquiera tienen por qué ser válidos pasado un tiempo, en el que haya cambiado esa situación.

Y ya sabemos todos que un mono con un checklist no es capaz ni de hacer una auditoría (bueno, es capaz, pero no va a aportar mucho valor). Hay que entender los riesgos… y eso no es fácil. Rich propone que te hagas un experto en esos riesgos, que realmente nadie conoce. Y no me extraña.

No todas las amenazas son iguales, y todos los checklists son erróneos.

La 100-ésima ventana

Por mucho que te empeñes no vas a poder subsanar todas las vulnerabilidades que conoces y seguramente haya otras que no conoces. Además, nuevas vulnerabilidades se descubren día a día, por lo que mantenerse actualizado es difícil.

100th window de Massive Attack

Además, arreglar vulnerabilidades, aunque necesario, es ir por detrás de la amenaza. Sería mejor implantar soluciones para evitar que se exploten amenazas, en vez de ir arreglando las vulnerabilidades que vayan saliendo.

0wned

Debido a que, tarde o temprano sufrirás una intrusión, tienes que prepararte para detectarla y reaccionar. Según Rich, el control más importante es la respuesta a incidentes rápida y efectiva.

La verdad es que poco se dedica a reaccionar o actuar frente al conocimiento que se tiene. Y es una pena. Porque muchas veces nos quedamos en análisis parálisis. Establecer los mecanismos para conseguir una rápida respuesta debe ser una de las prioridades de cualquier equipo de seguridad.

Recuerda, sufrirás intrusiones.

Colofón

Este listado condensa lo que este hombre ha aprendido en sus veinte años de dedicación a la seguridad de la información. Y no es poco. ¿Qué os parece? ¿Os identificáis con sus principios?

El otro día vi estos mensajes en la puerta de una iglesia que llamaron mi atención.

Aléjate del mal y haz el bien

Me resultó muy curioso cómo habían logrado sintetizar en estas dos frases una política de actuación para los feligreses.

Me pregunto si sería posible conseguir este nivel de síntesis respecto a seguridad de la información. Vamos a intentarlo:

Aléjate de los riesgos y evalúa bien. No te olvides de aprender.

Hmmm, no sé, no me convence mucho. A ver otra vez:

Aléjate de las malas ideas y gestiona bien. No te olvides de pensar.

Bueno, está visto que necesito ayuda. ¿Alguien se anima?