martes, 30 de agosto de 2016

Seguridad o Seguridad

En ingles tenemos 2 términos: "safety" y "security", que nos permiten separar en 2 categorías los riesgos de seguridad a los que se enfrenta una organización.

Por un lado "safety" se refiere a los riesgos derivados de eventos accidentales o aleatorios; desastres naturales, errores humanos, accidentes, fallos no intencionados, etc.

Y por otro lado "security" se refiere a los riesgos derivados de un oponente o atacante intencionado; sabotajes, robos, fraudes, etc.

En el mundo de la ciberseguridad es importante tener claras las diferencias, ya que las herramientas y las estrategias son distintas. Por desgracia en castellano el termino "seguridad" es ambiguo y es habitual que las organizaciones confundan sus 2 vertientes.

Muchas organizaciones meten en el mismo saco ambos tipos de riesgos, por ejemplo a la hora de realizar un análisis de amenazas. Lo que suele derivar en una estimación de riesgos no adecuada, sobre todo de cara a prevenir los ataques intencionados.

Me resultan chocantes los análisis de riesgos que determinan bien de forma subjetiva o bien de forma objetiva (pretendidamente), el riesgo de determinados sucesos. Por ejemplo el riesgo de "ataques con malware" (visto en varios análisis de riesgos reales).

Primero estamos metiendo en el mismo cajón todos los tipos de malware, que son muchos. Pero lo peor es que estamos agrupando amenazas muy diferentes; aquellas que provienen de atacantes oportunistas y aquellas que provienen de atacantes dirigidos.

Podemos intentar realizar una aproximación mas o menos acertada de la probabilidad de un ataque oportunista, aunque sea una variable que esta continuamente evolucionando y además depende en gran medida del sector y de la tecnología utilizada.

Pero no podemos evaluar en términos de probabilidad los ataques por parte de un oponente decidido y persistente. Bueno, si podemos dar una cifra, la probabilidad de un ataque de este tipo (si tenemos enemigos dentro de esta categoría) es de un 100% ya que sabemos que van a atacar tarde y temprano. Además sabemos que elementos van a atacar: todos los activos que tengamos expuestos o accesibles de algún modo y principalmente aquellos mas vulnerables.

Es mas, un atacante dirigido va a modificar su estrategia dependiendo de la que tomemos nosotros. Si protegemos un determinado frente, va a tacar por otro lado, de forma que un análisis de riesgos estático quedara rápidamente invalidado.

Si metemos todos los riesgos o todos los atacantes dentro de una misma categoría, vamos a realizar una estimación muy poco acertada de las amenazas reales a las que se va a enfrentar una organización y por tanto no vamos a dimensionar correctamente nuestra estrategia de defensa.

Si queréis ver una "evaluación de riesgos" realmente practica y completa, en el caso de ataques dirigidos, os recomiendo el visionado del siguiente vídeo de Rob Joyce, director del TAO de la NSA:



Os recomiendo apuntar todas sus recomendaciones y evaluar si vuestra organización las lleva a cabo. Si la respuesta es negativa y os enfrentáis a oponentes dirigidos, probablemente alguien no ha hecho un análisis adecuado.