Publicada. January 17, 2012

La ciberseguridad: la ciencia de lo incierto y de los necios

Por Netmedia

Email |  ¿Desea imprimir? Regístrese ahora

Por Carlos Ayala, síguelo en @caar2000

Cuando me hablan de riesgo y administración del riesgo, no puedo dejar más que esbozar una sonrisa, y mirar con ternura y ciertamente un mucho de admiración al aventurado y siempre muy seguro analista de riesgo, tengo varios amigos muy respetados en el medio que se dedican a estos menesteres y me parecen brillantes. Sin embargo siempre aterrizamos en lo mismo en este polémico tema, que me recuerda a la película de Darren Aronofsky PI el orden del caos.

En esta cinta,  Max (el protagonista), a los 6 años de edad y desobedeciendo a su madre  se quedó mirando fijamente al Sol. A raíz de este suceso comienza a padecer una especie de crisis de migraña intensa que le obliga a medicarse con toda clase de drogas  para aliviar el dolor –a veces necesarias para entender a los analistas de riesgo–. En paralelo al malestar, Max adquiere una facilidad para las matemáticas. Tiempo después ejecuta un algoritmo y obtiene lo que parece ser un error, obtiene la predicción de que la bolsa va a caer y una serie, de unos 200 dígitos numéricos, aparentemente sin sentido. Debido al resultado absurdo Max decide desechar los números. Sin embargo, al otro día la bolsa cae. Tiempo después los judíos le comentan al protagonista que el número que buscan tiene 216 dígitos y resulta ser el nombre de Dio”. Esta mensaje me pone a pensar que a veces pareciera que buscamos el algoritmo, número o indicador que precise cómo cuantificar lo incuantificable. En ese sentido, la percepción no tiene un poco que ver con la seguridad, al contrario tiene todo que ver con ella.

Si percibes una amenaza como pequeña se percibe que el riesgo por ende es leve, esto genera una falsa sensación de seguridad. Pero la pregunta es: ¿Quién o quiénes son los que perciben y contextualizan esta amenaza? Es aquí donde las reglas del juego cambian porque no es lo mismo  –y nunca lo será— la forma en que las personas perciben o observan un hecho, objeto o suceso, y desde esa perspectiva la seguridad no es la excepción.

Todas las variables existentes del proceso, del entorno tecnológico y la gente per-se influyen en la ecuación. No me mal interpreten, el análisis del riesgo y de las vulnerabilidades de la amenaza son elementos que forman parte del proceso porque proporcionan resultados diferentes y nos muestra una visión general. Sin embargo pareciera que cada vez nos alejan más de la realidad. Sabemos que se fundamentan en valores no cuantificables, aspectos subjetivos y aún así no me explico porqué queremos seguir, al más puro estilo tecnócrata ochentero, el proceso de la administración del riesgo, queriendo modelar lo “inmodelable”, queriendo que el mundo y todo a su alrededor se adapte a modelos matemáticos y estándares. Pero no olvidamos que estos factores primero deben de observar y adaptarse para luego poder modelar. Su función es buscar, en mayor o menor medida, lineamientos que nos lleven a un proceso cuantificable.

El problema es que la seguridad no opera así, pues si bien en ocasiones se apega al método científico y a la técnica  y los procesos, la realidad es que muchas veces tiene que ver más con el azar, mucho más de arte que de ciencia y  en ese escenario hay un mundo de fallas y valores de incertidumbre muy grande. Cuando hacemos respuesta a incidentes aprendemos que podemos aplicar técnicas de combate en donde todo es modelable, requiere de conocimiento y los hallazgos son repetibles. Por otra parte, las técnicas de caza demandan experiencia y los hallazgos no son repetibles, ni modelables mucho menos cuantificables, es por eso que el combate defensivo es fundamental para cambiar los paradigmas del riesgo, y nos vuelve más pragmáticos, nos enseña a esperar los inesperado, a tratar de pensar fuera de la caja, a no fundamentarnos en la cuantificación, a no confundir la improbabilidad con imposibilidad y a no descartar ni el más mínimo indicador de compromiso. Porque cualquier cosa que nos pudiera parecer imposible, quizá no es más que el reflejo de nuestra propia inexperiencia o de la típica asimetría que envuelve al juego de la seguridad, en donde a la cabeza por lo regular va el talento del adversario.

Es por ello que la Teoría del Cisne Negro de Nassim Nicholas Taleb, me parece que juega un rol más preponderante en estos días y va más acorde con las amenazas a las que actualmente nos enfrentamos. Esta teoría nos dice: “Lo improbable llega a ser lo probable basado en la improbabilidad percibida asociada con los actos, ideas, escenarios, entornos…”

 

En mi percepción la gente que se enfoca en el análisis del riesgo cae en el facilismo de a todo querer ponerle números y cuantificar cosas que no tienen materialización, queriendo controlar lo incontrolable por naturaleza, que es el talento humano y que siempre hará diferencia. El talento detrás del código, del mecanismo, de la técnica, ese es el verdadero adversario no el artefacto tras el compromiso. Y que en la mayoría de los casos dista mucho de ser entendido. Para que al final en el mejor de los escenarios del análisis previo sólo resulte un tablero que bosqueje con la miopía tradicional con la que simplificamos todo en un semáforo con tipificación alta, media y baja. Con colorcitos rojo para alta, naranja para la media y verde para baja. Los controles compensatorios ni siquiera se enumeran en la ecuación de riesgo y, ciertamente, desempeñan un papel fundamental en el resultado de los multiplicadores y en la estimación final del riesgo por el simple hecho que la aplicación de controles compensatorios tiene un efecto reductivo en la cuantificación de la vulnerabilidad, mientras que la ausencia de estos tienen un efecto opuesto.

La estandarización es otro animal que no se entiende en general, y las discusiones en la mesa con un par de cervezas resultan casi siempre en una guerra santa, porque un conjunto de elementos o buenas prácticas simplemente no es una biblia. De hecho hay una cantidad de vulnerabilidades procedimentales que en ocasiones se omiten, porque aunque parezca insistente nos movemos en el terreno de la incertidumbre y valores no cuantificables.

Y para muestra un ejemplo práctico muy simple, PCI en grandes rasgos habla de 12 requerimientos, en algunos de ellos se habla de instalar y mantener una configuración de firewall para proteger los datos del tarjeta habiente, proteger los datos almacenados del tarjeta habiente, monitorear y dar seguimiento a todos los accesos de los recursos de red y datos de la tarjeta. Pero supongamos hipotéticamente que se cumple con estos puntos y nos llega el típico auditor a avalar la implantación del estándar, logrando el resultado y encontrando el “santo grial” que es el certificado PCI. Certificado que nos sirve nada y nada menos que para adornar la pared en el centro de atención de clientes. Claro, después de anunciarlo en todos los medios, el consumidor luego entonces cree por inducción y un sinfín de publicidad que su información está segura. Revisando como pudiéramos cubrir uno de esos puntos del estándar, eligiendo entre usar un IDS o un IPS, para hacer la inspección a profundidad, monitoreo y prevención, uno de estos controles compensatorios detecta pero no detiene la amenaza, el otro puede hacerlo, si usas un IDS o IPS en ambos casos cumples el requerimiento pero el aspecto técnico de mitigación es un mundo de diferencia. Insisto cumples el punto del estándar pero en caso de un ataque asumiendo que ambos pueden identificarlo, uno lo detecta pero no lo bloquea, luego entonces el ataque es exitoso y te comprometen. Por otra parte, la solución en línea lo detiene y mitiga si está configurado para ello ya sea por una firma o filtro. ¿Cómo le explicas de entrada antes de cuantificar esto al patrocinador del proyecto que, con todo y su PCI, han comprometido la información  de sus tarjeta habientes? Elegiste un IDS y cumpliste el requerimiento, el “santo grial” así lo avala. Los estándares tienen un elemento muy grande de incertidumbre y es la decisión de la gente que lo implementa. El grado de confianza del estándar se reduce al grado de experiencia de quien lo interpreta, y una mala decisión te lleva: Uno, a dar una falsa sensación de seguridad, a percibir la amenaza de un nivel de riesgo completamente diferente. Dos, a establecer premisas incorrectas de protección. Tres, a no cuantificar adecuadamente el valor de los controles. Cuatro, te lleva a no poder establecer un costo asociado y te impide mejorar el proceso.

¿Cómo cuantificas la pérdida de reputación?, ¿Cómo sabes a cuántos tarjeta habientes le afectaría saber que su institución financiera fue comprometida? Lo difícil es que todo es estimable con un grado enorme de error.

En resumidas cuentas creo que mientras sigamos queriendo manejar esto como si fuera una ciencia exacta, el analista de riesgo seguirá cayendo en el facilismo teórico, frío y calculador. Seguirá alejándose cada vez más y más de donde debería estar más cerca que nadie, para entender las variables que afectan el riesgo del que tanto hablan y poco conocen, fuera de una ecuación.

Carlos Ayala

Es consultor de seguridad informática, con más de 10 años de experiencia, SANS/GIAC Advisory Board, Mentor, Proctor, CISSP, GCIH, GCFA, GPEN entre otras y miembro de la Asociación de Seguridad Informática Mexicana (ASIMX).

 

Artículos relacionados

1. Únete al evento más importante de ciberseguridad en México como conferencista
2. ESPECIAL: Preocupa que aún ciberseguridad no se tome en cuenta: expertos b:Secure
3. La ciberseguridad ya nunca debe dormir: experto
4. El Periférico de ciudad Ciberseguridad
5. Desde el sur, con anhelo de ciberseguridad