Ja fa anys que vaig llegir per primer cop la guia del NIST per a la gestió de riscos de les tecnologies de la informació. La guia que respon al codi NIST-800-34 inclou un concepte nou i interessant que altres metodologies de gestió de riscos no incorporen.
Totes les metodologies existents parlen de forma similar dels actius a protegir, respecte un conjunt d’amenaces a través de l’explotació de certes vulnerabilitats, així es pot associar un risc, en base a una probabilitat d’ocurrència de l’amenaça i un impacte sobre l’actiu. Però per la gent del NIST hi faltava alguna cosa. Van incorporar una nova variable i la van anomenar: la motivació. El valor d’aquesta variable ve determinat per l’interés que suscita explotar una vulnerabilitat sobre un actiu.
Aquest concepte ha tornat a mi recentment gràcies a una conversa interessant amb en José Nicolás Castellano d’Andubay, un bon company de professió. Comentàvem, els fets ocorreguts amb posterioritat al moviment del #15M, quan un grup de hackers van atacar de forma planificada i organitzada a un conjunt d’organismes i empreses. Era el naixement d’una nova generació de hackers informàtics, els hacktivistes, si bé aquest terme és va publicar per primer cop cap allà l’any 2006, és ara quant n’està tenint un ressó important, gràcies especialment a la nova era 2.0.
Aquests grups amb anonymous al capdavant, han decidit fer la guitza a aquells organismes i empreses que culpen de la situació econòmica actual. Sense entrar a valorar la ideologia dels grups, el que és cert és que amb ells han nascut noves amenaces per a les organitzacions.
La motivació que pot tenir algú per atacar l’organització que protegim és important. I més enllà de totes les mesures tècniques i organitzatives –les quals s’han demostrat insuficients- s’ha de fer alguna cosa més.
Els Comitès de seguretat de les organitzacions se’ls hi ha girat feina, i calen accions de contramesures complementaries. Si ens centrem en la variable de la motivació i com reduir-ne el seu valor se’ns obre -sense cap mena de dubte- un conjunt nou i diferent d’accions reductores del risc.
La comunicació externa és important, però insuficient, s’han de fer reformes internes a les organitzacions i millorar la seva consciència social, i que aquesta sigui visible de forma clara. Aquestes contramesures -que ben implementades redueixen el risc d’atacs sobre les organitzacions, reduint-ne la motivació- tenen un cost, en aquest cas moltes d’elles directe sobre el compte de resultats i el repartiment dels dividends.
Però també a nivell intern, perquè les estadístiques segueixen indicant que un percentatge d’atacs importants provenen de dins de les organitzacions. Millorar la gestió de les relacions laborals, amb mesures reals de conciliació familiar o en participació també dels beneficis i no només patir les retallades durant les pèrdues, també són contramesures que redueixen el risc d’atacs contra els actius a protegir.
Sempre podem invertir més i més en tecnologia, és una bona opció a més de necessari, no en tinc dubte. Però la seguretat així com la qualitat és transversal a l’organització i n’hi ha altres camins també efectius. La seguretat és una actitud i s’ha de treballar en tots els àmbits organitzatius i no descarregar-ne tota la responsabilitats a un petit equip humà de tècnics en seguretat informàtica. Però cal entendre que la seguretat corporativa està lligada també a la reputació de l’organització, a la seva consciència social, la visió del negoci i els valors amb els quals actúa dins la cuyuntura econòmica actual.
Per acabar m’agradaria fer unes reflexions, deia la Princesa Leia al Gran Moff Tarkin:
- “Quants més planetes vulgueu esclafar, més se us escaparan de les mans”.
Els grups de hacktivistes seguiran actuant, i com vaig sentir en una conferència de seguretat, els “bons” treballen 8 hores el dia per un sou, però els “dolents” treballen per objectius. Això els proporciona un avantatge, no se si petit o gran, però un avantatge. La cultura de la por, les represàlies o accions correctores poden no ser suficients i difícilment aconseguiran dissuadir als hacktivistes dels atacs.
Reformes reals poden aconseguir reduir el risc d’atacs, però no obstant, les empreses hauran de seguir estant alerta, perquè seguiran havent-hi grups organitzats que no actuen per aquests motius, i la motivació no és la única variable que està en el joc.
També es reafirma el fet que els comitès de seguretat han de ser multidisciplinars, i que totes les àrees organitzatives han de participar i involucrar-se . Potser és el moment que el fort compromís de la direcció sigui molt més ferm que l’assignació d’un pressupost per la seguretat.
Com sempre quan parlem de seguretat i de gestió de riscos, s’haurà d’avaluar si el cost de les contramesures és menor que assumir el risc de patir un atac exitòs. A quin costat de la balança hi recaurà el pes ?
Referències:
- NIST: Institut Nacional d’estàndards i tecnologia del departament de comerç del govern dels estats units
- NIST-800-34 es pot aconseguir de forma gratuïta a Internet a aqui.
