miércoles, 8 de octubre de 2014

Seguridad basada en anécdotas

Últimamente el sector de la CiberSeguridad cada vez se parece más a un circo. Lo importante es el espectáculo y lo que menos importa es si nuestros sistemas realmente son más seguros.

Siempre se ha dicho que la seguridad es como una cadena, un conjunto de elementos cuya fortaleza depende de que todos ellos sean lo suficientemente robustos. Al final la cadena es tan fuerte como su eslabón más débil.

Siguiendo este principio, deberíamos revisar todos los elementos de nuestra seguridad, para garantizar que todos ellos alcanzan un nivel aceptable. No podemos centrarnos solo en algunos elementos y olvidar el resto.

Sin embargo el sector va en dirección contraria. Lo que vende son las anécdotas, las modas.

Este año toca la moda de los ataques de denegación de servicio distribuidos. Todo el mundo corre a comprar el último “Appliance” y a contratar los últimos servicios de “Threat Intelligence”. ¿Y el resto de frentes, los olvidamos?

Hay también muchos casos de empresas o profesionales, que se han especializado en determinado tipo de vulnerabilidades o de ataques. Cuando contratas un proyecto de auditoria o consultoría con ellos, ya sabes lo que vas a recibir: Con un “Cross Site Scripting” son capaces de entrarte “hasta la cocina”.

Y me parece bien, la especialización en seguridad suele ser algo positivo. Además, debe ser un espectáculo ver a esta gente explotando “su” vulnerabilidad, pero ¿Y el resto de elementos de mi seguridad? ¿Y si no tengo un “Cross Site Scripting”? ¿De verdad merece la pena pagar por un proyecto tan específico? ¿Y los otros 100 tipos de vulnerabilidades que esta empresa no me va a analizar?


En seguridad es raro encontrar recetas mágicas que sirvan para todos los casos. Si tenemos más de un elemento a proteger, no debemos acudir solamente a los que venden siempre lo mismo y tenemos que analizar con la cabeza fría cuales son nuestras necesidades reales de nuestra organización, sin dejar huecos por cubrir ni dejarnos cegar por bonitas “demos”.

2 comentarios:

  1. Al menos con el paso de los años se van cubriendo cada vez más frentes :P

    El problema es que quien toma las decisiones prefiere decir que él había contratad al "equipo A" y que había ordenador hacerlos cambios que indicasen la auditoria. Así salva su culo.

    ResponderEliminar
  2. Me da gusto saber que no soy el único que cree que "el circo de la seguridad" (Schneier) es un juego que los encargados de la seguridad informática ejercen de maravilla.

    Me han comentado de empresas que lo único que buscan es la certificación y, que cuando la obtienen, vuelven a las mañas de siempre, gracias a que algún poderoso CEO en turno cree que se exagera "en eso de la seguridad". Esto lo pongo como la parte complementaria de tu comentario sobre la llegada de un especialista que vende solo un producto.

    Saludos.

    ResponderEliminar