Métricas de seguridad

Hoy he participado en una charla de la Universidad de Deusto acerca del estado de la Seguridad de la Información hoy en día. Estaba relacionada con el Máster en Seguridad que la universidad dará el próximo curso.

Mi presentación ha ido, sobre todo, de lo que me he encontrado en muchos clientes hablando con las personas responsables de la seguridad, o incluso con compañeros de profesión. ¿Qué necesidades tienen las organizaciones hoy en día? ¿Qué retos tenemos que afrontar actualmente?

Si bien entrar en materia con todo esto podría llevarme mucho tiempo (de hecho la presentación sólo duraba una media hora y han quedado muchas cosas en el tintero), hay un par de matices que me he quedado con ganas de explicar mejor. Y dado que este es mi blog y puedo hacer lo que me de la gana, pues me voy a quedar tranquilo.

Viendo las caras de los asistentes a la charla, y las preguntas que hacían, se notaba que eran un público muy técnico. Yo les hablaba de gestión, de procesos, de medir… y ellos quizás hasta ahora, durante toda la carrera, les interesaba más la configuración de los sistemas, elementos de redes y comunicación, protocolos, etc. Y me he visto reflejado en ellos, cuando era más joven y empezaba a trabajar. Cuando empecé el master y a dedicarme a la seguridad. La verdad que mi mentalidad ha dado un giro de 180º.

Mi intención era explicar que la Seguridad de la Información es mucho más que hackear redes y bases de datos. Es más que discutir sobre qué es más seguro, si Linux o Windows. En una organización, una empresa, la Seguridad debe dar el cambio de ser una isla a estar integrada en la cultura y estrategia corporativa. Debe perseguir los mismos objetivos que el negocio. Y ciertamente la estrategia a seguir, y la configuración final de los sistemas, pueden cambiar un montón si un analista de seguridad, en vez de ir a su bola, se sienta y se pregunta “¿qué necesita mi empresa realmente para estar segura?”. Seguro que si, a día de hoy, muchas empresas hicieran este ejercicio, cambiarían muchas cosas de las que ya tienen implementadas.

Pero aparte de explicar que la seguridad debe ser un proceso, hablar de estándares, de gestión, etc., he querido introducir el concepto de “medir” la seguridad. Y esto es algo a lo que antes yo no le daba demasiada importancia pero, con el transcurso de los años, he entendido lo trascendental que es para el éxito de la seguridad en una empresa.

Yo pongo siempre el mismo ejemplo. El sistema de seguridad más conocico, o al menos uno de los más conocidos. El firewall. El departamento de seguridad tiene un presupuesto, que se utiliza para comprar un super-firewall que es muy necesario. Se da un curso a un técnico de la empresa, o se contrata a una consultora, y se configura. Los requesitos los da la gente de seguridad, con mayor o menor acierto. Punto 1: la configuración del firewall debería haber salido de un análisis de las necesidades de la empresa. Es decir, ¿se han tenido en cuenta las necesidades futuras de la organización? ¿O una persona de seguridad ha puesto la configuración que “pensaba” que se necesitaba? Parece una bobada, pero muchas veces el departamento de seguridad es una “isla” sin comunicación ni representación con la dirección. Según la ISO 27002, para establecer un correcto SGSI es imprescindible que exista esa comunicación.

A lo que iba, que me lío. Como decíamos ese departamento de seguridad tiene un presupuesto. Ese presupuesto ha sido asignado por la direccion de la empresa para, lógicamente, mejorar la Seguridad de la Información (así, con mayúsculas). Pero necesita tener datos que lo corroboren. Recibe una factura de XXXXX euros por un firewall (o un par de ellos). Y se preguntan ¿para que demonios compramos esto? ¿De qué nos sirven? Por que todo, todo, lo que se compra en una empresa debe servir para algo. Punto 2. Y aunque para un técnico es obvia la necesidad de un FW, para un directivo que sabe usar el Outlook no es tan obvio.

Es decir, si a la dirección no se le demuestra la eficacia de lo que compra, pensará que se compran chorradas, que no valen para nada, y rebajará el presupuesto de seguridad. ¿Cómo se demuestra a un directivo que algo es útil? Midiendo. Hablando en su misma lengua. El idioma de los quesitos.

Pero te darás cuenta que no es útil solo para los directivos. Midiendo bien, la información será útil hasta para los técnicos. ¿Qué sistemas están en riesgo? No lo sabemos si no medimos. En este punto, entran los cuadros de mando. Bien configurados, se pueden integrar todos los sistemas importantes, o incluso todo el inventario, dividirlos en dominios o, por ejemplo, líneas de negocio o incluso por servicios. Si se ha realizado un análisis de riesgos como debería hacerse, se puede pasar esa información al sistema y, de forma “automática” se hace la magia de cruzar datos y decir el nivel de riesgo en determinados sistemas.

Y la dirección sí sabe de riesgo y de históricos. Y se puede demostrar la variación en el nivel de riesgo de la organización. Y por lo tanto, la efectividad de los controles implantados.

La verdad que resumir la utilidad de los cuadros de mando es algo tan breve como este post es imposible. Pero quizás com introducción sirva, y pueda hacer que los que aún son sólo técnicos le den una vuelta de tuerca la próxima vez que se planteen implantar una nueva solución de seguridad.

Por cierto, el día 29 de septiembre hay otra charla en Logroño en el que trataré de comentar este tema más en detalle