Bueno, ¿y de verdad sirve toda esta tecnología?


Una de las ironías de la seguridad informática (y de muchas otras áreas tecnológicas) es que si haces bien tu trabajo, parece como si no fuera necesario para la organización.

Una buena cultura de seguridad en la organización, acompañada de tareas como prevención de abusos, aseguramiento de confidencialidad, procedimientos de respaldo y restauración de la información, respuesta a incidentes, etc. tiene como resultado minimizar los costos de los eventos de seguridad informática. Pero ¿cuánto nos ahorran exactamente todas estas tecnologías?

Y, por otra parte, si nunca hemos tenido incidentes graves, ¿para qué gastar tanto en tecnologías de seguridad?

Es así que este componente del gasto tecnológico podría percibirse como un desperdicio.

Una posible respuesta a la pregunta anterior es considerar el gasto en seguridad informática como un "seguro tecnológico". Por ejemplo, cuando contratas un seguro (de auto, de casa, de vida, de gastos médicos, etc.) esperas nunca tener que utilizarlo. Aún así, muchas veces lo contratas porque la posibilidad de que tengas que usarlo no es cero. De igual manera, comprar todas esas tecnologías de seguridad debería preparar a tu organización para cualquier contingencia.

Sin embargo, esa es sólo la mitad de la respuesta.

La otra mitad de la respuesta es que ya estamos "bajo ataque" todo el tiempo. Virus, gusanos, caballos de Troya, spyware, etc. contínuamente sondean nuestras defensas y tratan de introducirse a nuestros sistemas. Son elementos que colectivamente reciben el nombre de "malware" porque se trata de software diseñado para actuar maliciosamente. 

La existencia de tantísimo malware orientado al robo de información (por ejemplo), debería darnos miedo. Sin embargo, las decisiones de seguridad no pueden estar basadas en el miedo.

Dice el dicho "no puedo controlar lo que no puedo medir". Si queremos determinar el nivel de seguridad informática necesario en nuestra organización y cuánto gastar al respecto, entonces debemos encontrar y medir periódicamente indicadores clave que nos permitan determinar cualitativamente el nivel de riesgo al que estamos sometidos y desarrollar un plan para enfrentar dichos riesgos.

La decisión para mantener, incrementar o disminuir los niveles de presupuesto para tecnologías de seguridad informática debe estar entonces respaldada por métricas pertinentes, generadas continuamente.

La siguiente es una lista, reconociblemente incompleta, de indicadores de seguridad que podría estar generando cualquier organización. Estas métricas pueden generarse con periodicidad semanal o mensual.

  • Número de cuentas de usuario bloqueadas por exceso de errores de ingreso, reportados por los servidores de correo, de aplicaciones, de bases de datos, etc.
  • Número de incidentes de soporte técnico relacionados con virus
  • Número de intentos de penetración, reportados por un sistema IDS / IPS
  • Número de intentos erróneos de ingreso vía VPN, reportados por un Firewall
  • Número de intentos de visita a sitios web no autorizados, reportado por un servicio proxy o de validación de contenido
  • Niveles de consumo de ancho de banda en las conexiones a Internet y servicios de telecomunicaciones, con especial atención a lo que sucede en horarios no-laborales
  • Número de incidentes de soporte técnico relacionados con software pirata
  • Número de incidentes de soporte técnico relacionados con aplicaciones no-laborales en smartphones

En conclusión: no basta con hacer bien el trabajo. También hay que demostrar que lo estamos haciendo bien, respaldándolo con métricas más allá de toda duda.

¿Y en tu organización? ¿Qué otros indicadores de seguridad utilizas para justificar el gasto tecnológico?