Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

El valor del décimo hombre

En seguridad informática, como en la guerra, hay que planear estrategias considerando incluso un escenario en que nuestras premisas estén equivocadas.

Cuando estrenaron World War Z, mis amigos fueron a verla sin mí. Luego de verla, me dijeron que la película no había sido de su agrado y como en su momento los cortos no me llamaron la atención la dejé pasar, pero siempre me quedé con cierta curiosidad. Gracias a mi recién adquirido gusto por The Walking Dead se incrementaron mis deseos por ver zombis, así que cuando estaba rentando Man of Steel decidí llevármela también.

La película me gustó y me hizo pensar en un concepto que vi en ella. Se trata de "El décimo hombre". Según se explica en el filme, el concepto establece que si nueve personas están de acuerdo en algo porque es razonable, la labor de la décima persona es estar en desacuerdo y tratar de comprobarlo. Esa décima persona debe encontrar razones por las cuales la decisión de las otras nueve es incorrecta.

De inmediato traté de ligar este concepto a cuestiones de seguridad informática y se me ocurrieron algunos ejemplos de cómo se puede aplicar este concepto.

1. Tener este software desactualizado es un riesgo

Java es un claro ejemplo. La mayoría puede estar de acuerdo en que mantener este software en una PC es un riesgo, decenas de blogs en internet lo dicen. Y hay que actualizarlo a la brevedad. La labor de la décima persona es estar en desacuerdo. Ver si los controles existentes son suficientes para que, aún con un Java vulnerable, haya una seguridad razonable. Tal vez tengamos un antivirus, un software de listas blancas y un impedimento para ejecutar applets no firmados que en su conjunto hagan que el riesgo de Java sea bajo.

Hoy, sin embargo, como todos dicen que Java es inseguro, pocos hacen pruebas tipo pentest en el ambiente corporativo para verificar este hecho.

2. Una Mac, un iOS o un Linux es seguro

Si todos estamos de acuerdo en que un iPhone o Linux es seguro y no necesita ningún tipo de seguridad adicional a la que viene de fábrica, la labor del décimo hombre es estar en desacuerdo y buscar evidencia que lo compruebe. Mejor si es a través de una demo, para que no se quede en teorías y en el "podría pasar". Tal vez nos llevemos una sorpresa.

3. No nos van a hackear

Todos padecemos del "a mí no me pasará”. No hay que sentirse mal, es humano y pasa en seguridad informática, en el bienestar personal o hasta en la salud (a mí no me daría una enfermedad terminal). En nuestro caso, pasa al pensar sobre si nuestra infraestructura está suficientemente protegida, porque se piensa ”esos hackeos suceden en otro tipo de empresas, pero aquí la seguridad es realmente alta"o "aquí no hay nada de interés para un hacker".

La labor del décimo hombre es comprobar que ese razonamiento no es correcto y tratar de ejecutar un hackeo exitoso o contratar a alguien experimentado que lo intente para ver los impactos y consecuencias. A veces hay tanta confianza en que una intrusión está tan fuera de lugar que ni siquiera se comprueba la supuesta "alta seguridad” en la que ciegamente se confía.

4. El eslabón más débil es el usuario

Pregúntenle a cualquier responsable de seguridad en una empresa. Cuestionen cuál es eslabón más débil en la larga cadena de seguridad y les apuesto a que dirá que es el usuario. Sin lugar a dudas. No hay otra opción. La misión del décimo hombre es averiguar si esto es correcto y determinar si no es el responsable de seguridad de esa empresa el eslabón mas débil porque no tiene instalados los controles tecnológicos suficientes o porque no aplica una gestión de la seguridad, lo cual, de hecho, es la razón por la que resulta más fácil echarle la culpa a alguien más por la inseguridad.

Podría continuar así con varios ejemplos, en los que se defienda la seguridad de algo o se dé por hecho la inseguridad de una tecnología. Es común en el mundo de seguridad informática tener ciertos paradigmas bien arraigados: Linux es seguro; cambiar una contraseña con frecuencia es fundamental; Java es inseguro; un antivirus es suficiente; ocho caracteres en una contraseña es seguro. El código abierto es más seguro que el comercial porque todo mundo puede revisarlo y encontrar y solucionar vulnerabilidades de seguridad informática. Es como decir que la Tierra es redonda o que el cielo es azul. Son cuestiones que no se discuten porque todo el mundo lo sabe. No es necesario el décimo hombre.

Pero muchos de estos conceptos vienen de años atrás, tal vez de un par de décadas. Y se repiten tantas veces en foros, clases y blogs que es información grabada en la mente de miles; ya no se discute: se asimila y se acepta.

Por ejemplo, leemos en un sitio que X software es inseguro, pero fallamos en darnos cuenta de que esto es cierto solo si se trata de una PC casera, no es el caso para un equipo empresarial protegido por N controles dentro del sistema y en la red. Pero eso no importa. Si el fabricante dice que hay algo de alto riesgo, hay que parchar urgentemente y decenas de sitios lo secundan. No hay otra opción: suena la campana y hay que salir gritando por los rincones de la empresa "hay que parchar, hay que parchar".

Desconozco si en otras profesiones existe este síndrome del "antiguo paradigma”, el cual "si todos lo dicen, debe de ser cierto". Pero en seguridad informática sí existe. Es un modo de pensar que antes que beneficiar, perjudica al exigir que se ponga controles de seguridad innecesarios y tal vez costosos, o bien evitando instalar controles porque supuestamente no son necesarios.

Tal vez la práctica del décimo hombre pueda ser de utilidad dentro de su área de seguridad informática. Pero no olvide de decirme cómo le fue; tal vez hasta haya logrado alejar a un zombi de su apreciada infraestructura de TI.

Investigue más sobre Seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close