Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Mark Schwartz, Enterprise Strategist de Amazon Web Services

Cómo fomentar una cultura de la seguridad

Hoy en día ya no basta con dejar la seguridad en manos de un equipo de especialistas que velen por las defensas de toda la empresa y las controlen mediante una serie de estrictas políticas de seguridad. Ya no basta con proteger y custodiar el perímetro de la red empresarial con cortafuegos e implementar controles específicos siguiendo marcos de conformidad.

La seguridad ha dejado de ser ese ingrediente secreto que añadimos al guiso antes de servirlo. Muy al contrario. La seguridad se ha convertido en una labor de todos, en un trabajo de preparación de los ingredientes antes siquiera de añadirlos, y su gestión ha pasado a ser una cuestión estratégica en la compañía. Por ello, la mejor forma de afrontar el futuro es que las organizaciones creen una cultura de la seguridad, fomentando la consciencia sobre riesgos y controles e implantando una serie de normas y prácticas que contribuyan a la seguridad de la empresa.

Lo habitual llegado este punto en un artículo sobre seguridad como es este, sería que contara historias para no dormir sobre compañías que sufren las consecuencias de vulnerabilidades que las han dejado expuestas a atacantes malintencionados y reciben un baño de humildad en el proceso. Pero, por varias razones no voy a hacerlo. Las amenazas acaparan titulares en las noticias cada día y ya somos bien conscientes de ellas. Y lo que es más importante, debemos acostumbrarnos a pensar en la seguridad en términos positivos, concibiéndola como un medio para crear, actuar y tomar decisiones que es simplemente algo que hacemos de forma natural tanto creadores como ejecutivos. Dicho de otra forma, y por hacer énfasis en la idea, las empresas deben fomentar una cultura de seguridad en lugar de limitarse a reaccionar ante amenazas específicas según estas van surgiendo.

En cuanto una empresa implante un nuevo sistema informático, surgirán innumerables intentos de hackearlo1. Nuestros sistemas están bajo constante asedio por parte de atacantes malintencionados que emplean herramientas automatizadas en busca de vulnerabilidades obvias de las que aprovecharse. Y eso sin mencionar las amenazas avanzadas y persistentes que son los hackers de mayor dedicación y talento, siempre dispuestos a invertir tiempo y dinero en acceder a los sistemas de los objetivos de alto valor que hayan elegido. Sin embargo, los atacantes malintencionados no son las únicas amenazas para nuestros sistemas. Los sistemas informáticos también pueden verse colapsados por datos corruptos o dañados, picos de uso inesperados, casos de uso anómalos para los que no se ha testeado y que suelen darse cuando se realizan múltiples operaciones de forma simultánea, fallos en cascada y problemas de ralentización que se multiplican en progresión geométrica.

Fallos de datos inesperados

En su libro Humans Vs Computers, Gojko Adzic cita numerosos ejemplos de entradas de datos que provocan comportamientos inesperados en sistemas informáticos. Tomemos como ejemplo los tristes casos de Jennifer Null, que no pudo comprar billetes de avión, y de Christopher Null, cuyo banco no podía mandarle extractos, ¡todo por su desafortunado apellido! Para que estos sistemas puedan realizar su labor de forma segura y también deberán gozar de altos niveles de escalabilidad, resiliencia, disponibilidad y rendimiento, además de haber sido rigurosamente testeados y ser resistentes a posibles fallos y entradas de datos inesperados, como pueden ser apellidos como Null. Ser robusto pasa por ser resistente frente a lo inesperado.

Pero todo esto tiene un aspecto positivo. La seguridad es, en cierto modo, gratuita; en el mismo sentido en el que solemos afirmar que la calidad es algo gratuito. En el mismo sentido, también, en que la higiene más básica también es gratuita: al lavarnos las manos, por ejemplo. La seguridad es algo gratuito en el sentido de que es más barato garantizarla que pagar las consecuencias de tener que implantarla a posteriori. La seguridad es, en sí misma, una forma de calidad. La seguridad pasa por garantizar que las capacidades informáticas de la empresa continúanen operando bajo condiciones reales tal y como fueron concebidas en su diseño, lo que pasa por poder operar bajo ataques y enfrentándose a lo inesperado.

De la misma forma en que calidad y rendimiento no están reñidos, seguridad y rendimiento tampoco lo están. Lo que es más interesante aún, la gran mayoría de exploits pueden atajarse siguiendo las más normas de higiene más básicas. Así, la gran mayoría de brechas de seguridad (inyecciones SQL y saturaciones de buffer, como ejemplos para los lectores más versados en lo técnico) surgen fruto de un conjunto muy pequeño de vulnerabilidades. Muchos sistemas informáticos incorporan software de terceros, a menudo en forma de software de código libre y, no obstante, utilizan versiones obsoletas con vulnerabilidades de seguridad ya conocidas. Esto es algo inexcusable: existen herramientas diseñadas para identificar estos problemas y con solo implantar sólidos protocolos de testeo, regresión e implementación, nos aseguraremos de que los parches oportunos se instalan de forma frecuente y puntual.

Si preguntásemos a los responsables de seguridad de las empresas cuáles son sus peores miedos en materia de seguridad, probablemente las dos respuestas más frecuentes serían el acceso no autorizado a credenciales internas y la negligencia a la hora de instalar parches de seguridad. A estas habría que añadir las vulnerabilidades de aplicaciones más habituales, como las inyecciones SQL y el cross-site scripting, y con eso ya habríamos cubierto la gran mayoría de las brechas de seguridad. Sin embargo, las prácticas idóneas de hoy en día en materia de seguridad ofrecen medios eficientes y poco costosos de evitar estas vulnerabilidades sin que ello conlleve ralentización alguna del proceso de provisión de servicios ni de la experiencia de uso para los usuarios. En esencia, la seguridad no es una cuestión de ingeniería compleja y vanguardista. Es algo tan prosaico como seguir una serie de prácticas idóneas en el día a día de la empresa. Es una cuestión de mera higiene.

El mejor modelo que conozco para una seguridad basada en la higiene y con visos a formar parte de la cultura de la empresa es el del movimiento conocido como Rugged Software o Rugged DevOps (software o DevOps robustos). Este movimiento aboga por crear software seguro y resiliente porque, simplemente, es lo correcto. En palabras de los fundadores del movimiento Rugged, “Una organización robusta produce código robusto; código diseñado para hacer frente tanto a las amenazas actuales como a los retos del futuro2”. La clave para un software robusto es, según consideran ellos, una cuestión de cultura empresarial: consideramos que la clave para crear código seguro es transformar la cultura de desarrollo de software de la compañía. Tenemos que mirar más allá de lo tecnológico y centrar la mirada en la organización de desarrollo que crea el código. Creemos que esta evolución debe empezar a nivel de las personas, procesos, tecnologías y cultura de la organización3.

Código y desarrollo de ‘software’

Aunque ellos hablan en términos de “código” y “desarrollo de software, estos principios son extensivos a toda la compañía. Una empresa que trata la seguridad y la resiliencia como algo que “está bien tener”, como algo de lo que solo sus expertos en seguridad deben preocuparse, como un gasto extra o una carga, o que no piensa en términos de seguridad en absoluto, jamás será una organización robusta. Una empresa con esa mentalidad está haciendo flaco favor a sus clientes, cuyos datos pone en peligro; a sus compañías, que deberán sobrellevar gastos y perjuicios a su reputación completamente innecesarios; y a sus inversores, cuyas inversiones perderán valor. Y si en lugar de una empresa estamos hablando de una agencia gubernamental, los afectados pueden ser todo el país y sus ciudadanos.

La seguridad y la resiliencia deberían ser, y de facto son, motivo de preocupación para todos en la empresa, ya sean ejecutivos, gestores o empleados. La seguridad es algo que debería ser fundamental en la cultura de una compañía. ¿No resulta irónico que una organización intente crear una cultura de “el cliente ante todo” o “incrementemos nuestra cuota de mercado” sin que uno de sus principios sea proteger los datos de los clientes a toda costa? A día de hoy, mostrar despreocupación o displicencia en lo tocante a la seguridad ni es aceptable, ni debería serlo.

Referencias

1 Según este artículo de CNBC, las empresas británicas reciben una media de 1.000 ataques informáticos cada día. Y eso no es nada comparado con los sistemas del Departamento de Energía de los Estados Unidos que, según Forbes, reciben una media de 10 millones de ataques cada día o los sistemas del estado de Utah, que incluyen sistemas de la Agencia Nacional de Seguridad (NSA) y que según The Hacker News, reciben una media de 300 millones de ataques diarios.

2The Rugged Handbook, https://www.ruggedsoftware.org/wp-content/uploads/2013/11/Rugged-Handbook-v7.pdf.

3The Rugged Handbook.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual