La motivació, variable de risc

15 Jul 2011  |  Classificat a: Blog, Seguretat de la Informació  |  0 Comentaris    

Ja fa anys que vaig llegir per primer cop la guia del NIST per a la gestió de riscos de les tecnologies de la informació. La guia que respon al codi NIST-800-34 inclou un concepte nou i interessant que altres metodologies de gestió de riscos no incorporen.

Totes les metodologies existents parlen de forma similar dels actius a protegir, respecte un conjunt d’amenaces a través de l’explotació de certes vulnerabilitats, així es pot associar un risc, en base a una probabilitat d’ocurrència de l’amenaça i un impacte sobre l’actiu. Però per la gent del NIST hi faltava alguna cosa. Van incorporar una nova variable i la van anomenar: la motivació. El valor d’aquesta variable ve determinat per l’interés que suscita explotar una vulnerabilitat sobre un actiu.

Aquest concepte ha tornat a mi recentment gràcies a una conversa interessant amb en José Nicolás Castellano d’Andubay, un bon company de professió. Comentàvem, els fets ocorreguts amb posterioritat al moviment del #15M, quan un grup de hackers van atacar de forma planificada i organitzada a un conjunt d’organismes i empreses. Era el naixement d’una nova generació de hackers informàtics, els hacktivistes, si bé aquest terme és va publicar per primer cop cap allà l’any 2006, és ara quant n’està tenint un ressó important, gràcies especialment a la nova era 2.0.

Aquests grups amb anonymous al capdavant, han decidit fer la guitza a aquells organismes i empreses que culpen de la situació econòmica actual. Sense entrar a valorar la ideologia dels grups, el que és cert és que amb ells han nascut noves amenaces per a les organitzacions.

La motivació que pot tenir algú per atacar l’organització que protegim és important. I més enllà de totes les mesures tècniques i organitzatives –les quals s’han demostrat insuficients- s’ha de fer alguna cosa més.

Els Comitès de seguretat de les organitzacions se’ls hi ha girat feina, i calen accions de contramesures complementaries.  Si ens centrem en la variable de la motivació i com reduir-ne el seu valor se’ns obre -sense cap mena de dubte- un conjunt nou i diferent d’accions reductores del risc.

La comunicació externa és important, però insuficient, s’han de fer reformes internes a les organitzacions i millorar la seva consciència social, i que aquesta sigui visible de forma clara. Aquestes contramesures -que ben implementades redueixen el risc d’atacs sobre les organitzacions, reduint-ne la motivació- tenen un cost, en aquest cas moltes d’elles directe sobre el compte de resultats i el repartiment dels dividends.

Però també a nivell intern, perquè les estadístiques segueixen indicant que un percentatge d’atacs importants provenen de dins de les organitzacions. Millorar la gestió de les relacions laborals, amb mesures reals de conciliació familiar o en participació també dels beneficis i no només patir les retallades durant les pèrdues, també són contramesures que redueixen el risc d’atacs contra els actius a protegir.

Sempre podem invertir més i més en tecnologia, és una bona opció a més de necessari, no en tinc dubte. Però la seguretat així com la qualitat és transversal a l’organització i n’hi ha altres camins també efectius. La seguretat és una actitud i s’ha de treballar en tots els àmbits organitzatius i no descarregar-ne tota la responsabilitats a un petit equip humà de tècnics en seguretat informàtica. Però cal entendre que la seguretat corporativa  està lligada també a la reputació de l’organització, a la seva consciència social, la visió del negoci  i els  valors amb els quals actúa dins la cuyuntura econòmica actual.

Per acabar m’agradaria fer unes reflexions, deia la Princesa Leia al Gran Moff Tarkin:

  • “Quants més planetes vulgueu esclafar, més se us escaparan de les mans”.

Els grups de hacktivistes seguiran actuant, i com vaig sentir en una conferència de seguretat, els “bons” treballen 8 hores el dia per un sou, però els “dolents” treballen per objectius. Això els proporciona un avantatge, no se si petit o gran, però un avantatge.  La cultura de la por, les represàlies o accions correctores poden no ser suficients i difícilment aconseguiran dissuadir als hacktivistes dels atacs.

Reformes reals poden aconseguir reduir el risc d’atacs, però  no obstant, les empreses hauran de seguir estant alerta, perquè seguiran havent-hi grups organitzats que no actuen per aquests motius,  i la motivació no és la única variable que està en el joc.

També es reafirma el fet que els comitès de seguretat han de ser multidisciplinars, i que totes les àrees organitzatives han de participar i involucrar-se . Potser és el moment que el fort compromís de la direcció sigui molt més ferm que l’assignació d’un pressupost per la seguretat.

Com sempre quan parlem de seguretat i de gestió de riscos, s’haurà d’avaluar si el cost de les contramesures és menor que assumir el risc de patir un atac exitòs. A quin costat de la balança hi recaurà el pes ?

 

Referències:

  • NIST: Institut Nacional d’estàndards i tecnologia del departament de comerç del govern dels estats units
  • NIST-800-34 es pot aconseguir de forma gratuïta a Internet a aqui.

 

 

 

Fem armaris

20 Jan 2011  |  Classificat a: Blog, Gestió TIC, Govern TIC, Seguretat de la Informació, Sin categoría  |  0 Comentaris    

Hi ha dies d’hivern que no conviden a sortir de casa, fa fred, es fa fosc aviat i tampoc tenim molts diners per gastar i passar el cap de setmana fora. No sé com seria la vostra mare, però la meva ho arreglaria tot dient ”anem a fer armaris…”

Què és fer armaris? Endreçar, veure que tenim al fons, veure que podem aprofitar i que cal llençar per fer espai a coses més útils, i també reformar coses que encara poden fer servei amb petits canvis…

Estic segur que, si heu fet armaris alguna vegada, us heu emportat petites o grans sorpreses, i que, el que creieu que us trobaríeu varia de forma substancial amb la realitat.

Buscar aquell abric que pensàveu que havíeu guardat i recordar que l’havíeu donat a la tia

Francis fa dos hiverns, o trobar un parell de botes, que us pensàveu que ja no hi eren, i que us estalvia passar per Sabatots Sebastià a fer una despesa que no us venia de gust fer.

Tot això traspassat al món de l’empresa i amb el temps que corren els grans pressupostos s’han acabat i no s’aborden grans projectes a no ser que en determinin la supervivència de l’organització. Si ens endinsem en les infraestructures TIC i els departaments d’informàtica, podem dir que actualment es compleixen les condicions per fer armaris. I això és el que proposem: fer armaris per  saber on estem (i no on creiem), optimitzar els recursos disponibles amb la inversió mínima i, ja posats, planificar el futur.

És un bon moment per treure una foto de la nostra realitat. També  és un bon moment per analitzar quina és la realitat organitzativa, el nivell de compliment legal, la formació de la organització a tots els nivells, i el nivell de seguretat real i la maduresa de la nostra gestió dels serveis TIC, així com fer petits passos per endinsar-nos en el món de les bones pràctiques o el compliment normatiu.

És bon moment per petits canvis que generin beneficis a curt termini sense comprometre inversions futures.

També és el moment per posar en solfa tot allò que no acabem mai, implantació de normes i processos, programes de conscienciació dels usuaris dels nostres sistemes i repassar el perquè fem les coses d’una manera determinada, i si aquesta manera de fer segueix acomplint els objectius pels quals va ser establerta.

Aqui es on recau el valor de la bona gestió del CIO i del CISO que es demostra en aprofitar aquests moments difícils i de poques inversions per maximitzar l’eficiència i l’eficàcia dels equips i treuren el màxim rendiment amb la mínima inversió. Apuntalant la feina dels ultims anys amb un base solida, i permeten que la gestió  de serveis pugui adquirir un grau de maduresa notable.

En aquesta epoca, on hi ha una important decriment de nous projectes, Un CIO experimentat és capaç de veure una oportunitat d’assolir nous objectius en benefici del negoci basats, no tant en grans reformes, sino en la millora de petits aspectes que fins ara no s’han contemplat però que són igualment importants. Així, arribat a aquest punt és, on el CIO ha de buscar recursos per treure temps per revisar, endreçar i avaluar tot allò que s’ha fet els darrers anys, propossar millores i preparar-se pel futur.

Si voleu fer armaris us ajudem,  som professionals i és la nostra feina.

La habilitat de l’usuari per fer allò inesperat

19 Apr 2010  |  Classificat a: Blog, Seguretat de la Informació  |  1 Comentari    

És una cruel realitat que a mida que implantem mesures de seguretat estem limitant als usuaris dels nostres sistemes, fins hi tot podem impedir que facin coses que fins ara han estat fent, i que dificulta les seves obligacions. Pot ser això un problema?
(més…)

La síndrome de la pàgina en blanc

12 Apr 2010  |  Classificat a: Blog  |  0 Comentaris    

Quan hem començat a pensar de què parlar en el primer post del blog de h2c hand in hand consulting hem sofert de manera cruel la síndrome de la pàgina en blanc. Tant l’hem sofert que hem anat prorrogant la estrena del bloc una setmana i una altra sense remei. Volíem parlar de tantes coses… L’inici de la nostra activitat empresarial, agraïments a totes les persones que ho ha fet possible -que han estat moltes- o explicar-vos l’objectiu d’aquest espai blocaire corporatiu

Totes ens semblaven suficientment importants, i es mereixen estar en el primer post, així que farem un popurri.
(més…)

© Hand in Hand Consulting, S.L. 2010 - Nota Legal Agraïments