domingo, 4 de octubre de 2009

Reflexiones sobre las métricas en seguridad de la información

Revisando las ideas desarrolladas por Bruce Schneier en su libro “Beyond fear” publicado en 2003, sobre la seguridad de la información encontramos que muchas de ellas nos sirven de escenario base para adelantar una reflexión sobre lo que pueden ser las métricas en seguridad de la información.


Dice Schneier:

  • La seguridad es subjetiva y será diferente para diferentes personas, pues cada una de ellas determina su nivel de riesgo y evalúa sus estrategias compensatorias (trade-off) frente a los controles.
  • La seguridad es un sistema. Un sistema de contramedidas (controles) individuales y sus interacciones.
  • El sistema de seguridad es en sí mismo una colección de activos mas funcionalidad.
  • Las interacciones entre sistemas son inevitables. Éstas producen o generan propiedades emergentes de los sistemas. En este sentido, de alguna manera las brechas de seguridad son resultado de las propiedades emergentes.
  • La seguridad no es una función que pueda ser verificada, como una reacción química o un proceso de manufactura. Por el contrario, solamente es efectivamente verificada cuando algo no sale bien.
  • El atacante debe ser parte del diseño de un sistema de seguridad, por tanto, el sistema debe tomar en cuenta el atacante para mantenerse seguro.
  • Los diseñadores de sistemas informáticos que quieren hacer sus sistemas más seguros deben construirlo tan simple como sea posible: elimine opciones, reduzca interacción con otros sistemas, corte funcionalidad que no sea necesaria.
  • Usted no podrá tomar buenas decisiones sobre qué tanta seguridad necesita hasta que no conozca los mecanismos de detección y respuesta que necesita implementar.
  • “Invulnerable”, “impenetrable” son palabras que no tienen sentido cuando se habla acerca de la seguridad.
  • Cuando ocurre un evento de seguridad, regularmente las personas se vuelven más experimentadas y saben que hacer.


Todas estas reflexiones nos hablan de un concepto de seguridad de la información basada en la inseguridad, en ese elemento tangible y medible como lo es la falla en sí misma. En este sentido, las métricas de seguridad de la información deben responder a la capacidad de la organización de responder a las brechas de seguridad, a la cultura de reporte de incidentes de seguridad y al nivel de confianza que quiere tener la alta gerencia respecto de la seguridad de los activos de información.


En este contexto, medir en seguridad de la información no debe estar atado a los estándares de seguridad como el ISO 27000, sino a las relaciones emergentes y propias de cómo se ejecutan las prácticas diarias de seguridad de la información en la organización, en los detalles de cómo se asumen y manejan los escenarios de falla y sobremanera, en la forma como la gerencia quiere administrar los riesgos propios de la protección de la información.


Así las cosas, medir en seguridad de la información exige el reconocimiento de la cultura de seguridad de la información, ese núcleo de supuestos, prácticas expuestas y en uso, así como los artefactos tecnológicos que hacen parte de la estrategia corporativa de seguridad de la información para desestimar posibles conductas que atenten contra la confianza emergente de la gerencia en la protección de los activos.


La gerencia valora más la manera como la organización se enfrenta y reacciona cuando se tiene una brecha de seguridad, que cuando no la tiene. Pues puede ver allí que tan preparada está para que, a pesar de los hechos, pueda procesar el incidente y seguir operando. Así mismo, reconoce el valor de un enfoque preventivo y de aseguramiento, más que uno reactivo y postmortem, porque sabe que mientras más pueda avanzar en una administración de riesgos de seguridad de la información, mejor podrá posicionar su confianza y la de sus clientes para fortalecer sus alianzas estratégicas.


Si bien esta reflexión no pretender agotar el tema de las métricas en seguridad de la información u ofrecer un conjunto de ellas, si busca repensar las ya existentes basadas en operaciones o números, que si bien son muy útiles para mirar la efectividad de las tecnologías de seguridad, no son suficientes para dar respuesta a la pregunta que se hace la gerencia: ¿Cuál es el nivel de confianza que tiene la organización en la seguridad de la información?


Medir en seguridad de la información, no es un tema exclusivamente de números, cantidades o volúmenes. Es una estrategia y la mejor excusa para dar respuesta a una pregunta, a una realidad que se hace evidente en la cultura de seguridad de la información. Medir es reconocer que somos tan seguros como la atención y gestión de los incidentes que hemos tenido, como el nivel fallas que experimentamos en las tecnologías de seguridad y la percepción de protección y amparo que cada una de las personas de la organización presenta.


Cuando nos arriesgamos a medir la gestión de la seguridad de la información, es decir, la generación de valor basada en la protección de los activos de información, nos lanzamos a ver con los ojos de la gerencia su entendimiento de los riesgos frente a los procesos de negocio.

No hay comentarios:

Publicar un comentario