Seguridad en el diseño
Este es un concepto relativamente reciente usado sobre todo en el ámbito del desarrollo de aplicaciones. Realmente es extrapolable a cualquier tipo de proyecto: desplegar la infraestructura técnica para una nueva compañía, modernizar o ampliar una ya existente o cualquier otro proyecto, me atrevería a decir, incluso fuera del ámbito técnico.
Hasta ahora, las empresas desplegaban la infraestructura basándose muchas veces en cuestiones económicas: que solución es la mas barata que cumple con los cometidos que espero. Dentro de los requisitos no había ninguno relacionado con el de la seguridad informática.
No perdamos de vista la realidad: para muchos gerentes la informática no es más que un gasto que no tienen mas remedio que asumir y que además estos sistemas no dan más que quebraderos de cabeza, y que cuando la empresa sufre un ataque informático, por si fuera poco, deben de gastar más dinero en implantar alguna solución de seguridad: firewalls, segmentación, etc.
El primer error es entender el coste en tecnologías de la información como un gasto y no una inversión como cualquier otro bien de equipo. El segundo es no planificar correctamente los proyectos de implantación de estos sistemas, y por planificar me refiero a todo el ciclo de vida del proyecto de implantación y posterior uso del sistema.
Las fases de inicio y planificación son de vital importancia para el éxito del proyecto. En estas fases se realizarán, entre otras, las siguientes tareas:
-
- Análisis del alcance
- Análisis de riesgos
-
- Realización de las estimaciones de coste, esfuerzo y recursos
- Definición del plan del proyecto
La seguridad en el diseño debe de incluirse primeramente en el alcance, es decir, uno de los requisitos de nuestro proyecto es que sea seguro, que nuestro sistema sea debidamente seguro ya desde su concepción.
Análisis de riesgos
¿Como sabemos de qué tenemos que protegernos? Muchas veces no lo sabemos porque los ciberdelincuentes están continuamente innovando para encontrar nuevos resquicios para poder consumar un ataque. Pero si que sabemos de quien tenemos que protegernos, que queremos proteger y que valor tiene ese activo, tangible o intangible para la empresa.
Una de las tareas mas importantes en la fase de planificación es la de identificación de riesgos, realizar un análisis cualitativo de los mismos para conocer su probabilidad e impacto y poder categorizarlos, también hacer el análisis cuantitativo de los riesgos identificados en cuanto a lo que afectan a la planificación, costes, etc.
Por último tenemos la tarea de planificar la respuesta que daremos a cada riesgo. Las estrategias de respuesta pueden ser:
-
- Evitar: eliminamos la amenaza cambiando el plan, por ejemplo, implementando un nuevo dispositivo o sistema que elimine completamente el riesgo.
- Transferir: Trasladamos el impacto a un tercero. Esto es lo que hacemos cuando llevamos un servicio a la nube, transferimos el riesgo de, por ejemplo, caída de un servidor por fallo en la fuente de alimentación al proveedor.
-
- Mitigar: implementamos una solución que reduce notablemente la amenaza. Por ejemplo, al implementar un Firewall de nueva generación para mitigar el riesgo de ataque con malware.
- Aceptar: si el coste de las otras estrategias es inasumible por el proyecto se acepta que este riesgo pueda ocurrir. En este caso ha de crearse un plan de respuesta para el caso de que ocurra.
Una vez que tenemos identificados, parametrizados y documentados los riesgos debemos de crear los diferentes planes de acción: plan de contingencia, de recuperación de emergencia, de respuesta a los riesgos. Estos nos ayudaran a reducir los tiempos de respuesta ante la ocurrencia de un riesgo identificado y a evitar que una acción improvisada ante un riesgo sea mas perjudicial que el riesgo en sí.
Este punto de análisis de riesgos y todas las acciones consecuentes puede ser actualizado en cualquier fase posterior del ciclo de vida del proyecto siempre que se identifiquen nuevos riesgos.
¿Y si ocurre algo que no estaba identificado como riesgo porque nadie podía preverlo?
Cisnes negros
El filósofo y matemático, entre otras muchas cosas, Nassim Taleb define un cisne negro como un suceso de gran impacto y totalmente improbable.
Un ejemplo claro de cisne negro fueron los atentados del 11 de septiembre de 2001, en el que, entre otros sucesos, colapsaron y cayeron las dos torres del Wold Trade Center. Es por todos conocido los cambios que ocurrieron a partir de ese día a nivel global y que hoy todavía arrastramos.
En este atentado se perdieron los centros de datos de varias empresas, como American Express o Lehman Brothers, que tenían oficinas en estos edificios provocando la pérdida total de sus datos. Ya había compañías que habían replicado sus centros de datos para poder mitigar una caída total de uno de ellos. Otros tenían copias de seguridad fuera de los edificios, otras lo perdieron todo.
Fue un punto de inflexión en la definición de los planes de contingencia de las empresas. A partir de este evento, un gran numero de empresas empezaron a definir planes de recuperación de desastres y de continuidad de negocio, donde no solo se tienen en cuenta los riesgos derivados de las perdidas materiales o de datos ante una situación grave, si no también desde el punto de vista de los recursos humanos, financieros, etc.
A día de hoy tenemos otra situación, que aunque no se considera un cisne negro por que si fue predecible, no deja de ser algo que nos ha cogido con cierta sorpresa, la pandemia de Covid-19.
Muchas empresas han tenido que improvisar para poder permitir que sus empleados sigan trabajando desde casa, otras han recurrido a métodos “baratos”, como hacer NAT para permitir el acceso por escritorio remoto sin ser conscientes del altísimo riesgo que están asumiendo de sufrir un ataque devastador cuando podrían, al menos, mitigarlo por un coste ridículo. Como dato medible, ahora mismo hay mas de 4 millones de ordenadores accesibles con este método, más de 37.000 solo en España, que seguro que ya están siendo atacados por ciberdelincuentes.
Y esto ocurre porque no se tuvo en cuenta la seguridad en el diseño del sistema, por sencillo que fuera.
@jantoniorobledo
-Juan Antonio Robledo-