¿Por qué es Imposible la Seguridad Total?

Publicado en

Cada que escucho a un proveedor hablar sobre seguridad, su exposición típicamente tiene la siguiente estructura: primero genera terror en nuestros corazones demostrando las amenazas que nos acechan, y posteriormente nos explica como su bala de plata nos protegerá. En algunos casos se mencionan otros puntos como alinear la bala de plata a nuestra tecnología y negocio, y capacitar al personal. Así que parecería que lo único que necesitamos para vivir tranquilos es aplicar tecnología, implementar una serie de procesos, capacitar al personal en la herramienta y someternos al rigor de auditorías anuales.

Listo, sano y salvo. ¿Dónde firmo para obtener seguridad total?

Un momento ... ¿en verdad se puede? Tenemos los ejemplos de grandes empresas, con el músculo tanto tecnológico como financiero para poder implementar cuanta defensa pueda ser implementada y sin embargo también son víctimas. ¿Cómo no ser escéptico si ellos no pudieron lograrlo?

No estoy solo en mi escepticismo. El escritor y consultor en seguridad Glenn S. Phillips [1] menciona 4 puntos por los que la seguridad total de información es imposible:

  1. Existe gente involucrada. No existe seguridad absoluta simplemente porque la gente forma la mayor parte del área de riesgo. Ya sea que tenga malas intenciones, o que tenga buenas intenciones pero cometa errores.
  2. El cambio es constante. Aunque el día de hoy logremos asegurar algo, mañana habrá nuevos riesgos. Cambio de gente, tecnología y forma de hacer negocios. El parche que instalé hoy protege contra los riesgos de ayer, no contra los de mañana.
  3. Seguridad es un concepto, no una definición. Se puede definir "entorno seguro" para una situación particular pero no se puede generalizar. Pasar la auditoria únicamente demuestra que se revisó lo que creemos revisable. Esto no cubre riesgos particulares de negocio y riesgos nuevos.
  4. La tecnología es una herramienta, no una solución completa. Demasiados líderes asumen que la seguridad es un problema de tecnología. Citando a Zygmunt Bauman: "las cerraduras pueden ayudarnos a soslayar el problema o a olvidarlo, pero no pueden obligarlo a dejar de existir."

Consideremos la analogía de un candado contra una ganzúa: el candado tiene que cubrir amenazas generales, la ganzúa solo tiene que romper una debilidad particular; la ganzúa necesita el éxito una vez, el candado necesita ser exitoso siempre.

Busquemos el balance

Intentar la seguridad total es costoso y con pocas posibilidades de éxito. Saber esto es bueno.

Olvidemos el "total", mejor busquemos el balance entre ser osado sin ser imprudente; entendámos profundamente la naturaleza de nuestro negocio y el riesgo que éste implica. Los autos comerciales no tienen jaulas contra volcaduras, de la misma manera que los autos de carreras no tiene bolsas de aire. El diseño en ambos es una mezcla entre lo que se espera de ellos y el riesgo que se corre.

Entender ésto es profundamente liberador. Si no hay hombres lobo, no necesitamos desperdiciar la plata en balas, ni imponer políticas basadas en quimeras. Mejor nos enfocamos tener un comportamiento adecuado a los riesgos que estamos dispuestos a tomar para realizar negocio.

Seguridad no es esconderse bajo una roca y perderse del mundo. No es encerrarse tras de murallas impenetrables y ver el mundo a la distancia. El candado total, el que es imposible de abrir, está sellado y esto lo convierte en un candado inútil. Lo que se busca es que lo abra la llave adecuada y que lo que protege no sea de mayor valor que el candado. No hacemos negocios para estar seguros, la implantación de seguridad es uno de los costos que debemos asumir para hacer negocios. Y como cualquier otro costo tiene que estar en balance con el tipo y la ganancia del negocio.

La seguridad que deberíamos buscar debe permitir un flujo sano de información con un control aceptable de los riesgos que se están tomando. Debe de tener medidas para que cuando lo inevitable pase —es decir que quede comprometida la seguridad—, no haya consecuencias desastrosas. Debe de girar en la confianza en nuestra gente y en el sentido de protección que debe de prevalecer entre ellos. Es decir, la seguridad tiene una perspectiva social que a veces olvidamos en nuestra búsqueda tecnológica de la misma.

Los mejores líderes ahorran tiempo y dinero entendiendo que la seguridad significa procesos, no entregables. Estos procesos cambian continuamente porque la gente, los riesgos y la tecnología están en un cambio continuo.

Referencias
[1] G. Phillips. “Mission Impossible: 4 Reasons Compliance Is Impossible”. http://swgu.ru/sg40r8

Bio
Edmundo Reyes Cuellar tiene 17 años de experiencia en el área de sistemas y ha trabajado desarrollando arquitecturas de Business Intelligence y Enterprise Content Management. Es apasionado de la arquitecturas de sistemas y los métodos ágiles. Le gusta programar en Ruby y Python aunque de vez en cuando todavía extraña a C. http://cuellared.wordpress.com