02 mayo 2012

¿Cuánto es suficiente en Seguridad?

“En una pelea la mejor técnica es no tener una técnica.
Mi técnica es el resultado de su técnica.
Mi movimiento es el resultado de su movimiento.”
Bruce Lee


Es un gusto enorme y un placer para mí comenzar mi colaboración para un sitio tan importante como este. En esta primera aportación quiero compartirles algo del contenido de mi charla en el pasado evento ACK Security Conference 2012 realizado en la bella ciudad de Manizales, Colombia y donde tuve la oportunidad de conocer algunos de los mejores profesionales en Seguridad Informática de Latinoamérica y España, entre ellos a mi ahora buen amigo Lorenzo Martínez.

Durante los últimos meses hemos sido testigos de una ofensiva mas fuerte y agresiva contra Empresas y Organismos de Gobierno de las que se hayan visto anteriormente; casos como RSA, HB Gary, FBI, CIA, NASA etc... nos hacen plantearnos una serie de preguntas ¿Estas Empresas no contaban con los mecanismos de seguridad para detener estos ataques? ¿Realmente no han invertido lo suficiente para protegerse? Si revisamos la anatomía de dichos ataques nos daremos cuenta que en realidad en la mayoría de los casos no son tan sofisticados como pensamos y se concretaron de alguna forma gracias al factor humano ¿Cuál es entonces el problema?

El problema es que estamos planteando y enfrentando la situación de una manera inadecuada. Todos sabemos que existen estándares, guías, buenas prácticas, normativas y una cantidad importante de herramientas en el mercado. Hay Empresas que invierten una cantidad importante de recursos para asegurarse de implementar muchos de estos modelos y adquieren herramientas costosas de Seguridad. Sin embargo, esto parece no ser suficiente. Y es que la realidad nos dice que siempre existe un eslabón débil en la cadena que si es identificada por un potencial atacante, puede ser el punto de entrada para un compromiso mayor.

Hoy en día se están desarrollando herramientas muy sofisticadas, incluso son diseñadas para evitar ser detectadas por IDS o Antivirus, se encuentran en el mercado negro e incluso se crean a la medida del que lo solicita. Diariamente aparecen miles de muestras de malware cuyo objetivo es ser utilizados en actividades de espionaje o cibercrimen.

Ante este complicado escenario ¿qué se puede hacer? Lo más importante es entender que la seguridad debe ser visualizada bajo un enfoque no solo de herramientas y buenas prácticas. Durante mucho tiempo nos hemos concentrado solamente en acciones de defensa y contención, pensando que eso será suficiente. Basta con realizar un pequeño ejercicio de valoración, como por ejemplo revisar las cifras de cuantas empresas realmente cuentan con un área formal de respuesta a incidentes, cuántas de ellas cuentan con planes confiables que se puedan integrar con los de continuidad de negocios. En pocas palabras, no estamos siendo proactivos sino reactivos.

Una forma de replantear esta estrategia sería crear modelos eficientes de monitoreo y detección. Para esto es importante diseñar una buena arquitectura de seguridad donde sea posible detectar cualquier situación de amenaza en el menor tiempo posible.

Recordando un concepto de uno de los libros que Bill Gates que escribió hace más de una década “Los negocios en la era digital” y que me parece muy interesante. En él planteaba la analogía entre un sistema nervioso humano con un sistema digital. Él menciona en su libro que un sistema digital debe ser lo mas parecido al humano debido a que, cuando nuestros sensores nerviosos detectan una acción amenazante que pueda dañar al organismo, inmediatamente reaccionan enviando un mensaje al cerebro para que este tome acción, como en el caso de que estamos sufriendo una quemadura. Si no fuera así, tendríamos daños muy severos.

En el caso de los sistemas de seguridad, estos deben ser diseñados desde la misma óptica de funcionamiento que el sistema nervioso humano. Debemos crear una estructura que permita detectar a tiempo un ataque y en ese momento actuar en consecuencia respondiendo al incidente. Mientras más rápidamente se reaccione, menor será el daño y evitaremos que se extienda y derive en situaciones más graves, como la pérdida de información o el compromiso de sistemas estructurales.

Debemos tener la capacidad de adaptarnos a la forma en que los atacantes utilizan nuevas técnicas y herramientas para defender los sistemas de manera eficiente, existe en la actualidad un desfase importante en las capacidades de los atacantes y de quienes defienden. El personal que se asigne para las tareas de monitoreo, realmente debe estar preparada para identificar incidentes. En la actualidad confiamos en que los sistemas de detección harán todo el trabajo y olvidamos que hay gente trabajando 24 x 7 creando herramientas capaces de evadir estos sistemas.

Podemos elegir entre justificar la asignación presupuestal de cada año al área de seguridad comprando herramientas costosas, realizando evaluaciones de vulnerabilidades y pruebas de penetración solo para cumplir con normativas o realmente replantear y restructurar la forma como vamos a contar con un sistema eficiente de identificación y respuesta. No es cuestión de cuánto se invierta sino en plantear una estrategia inteligente.

Contribución por cortesía de:  Roberto Martínez

2 comments :

DV dijo...

que buen punto de vista , se agradece. 

Fernandoarm dijo...

Hoy pongo que mis estudiantes lean este articulo