Imagen aérea de Utoya
Han pasado ya cinco días desde los desgraciados sucesos de Noruega y no salgo todavía de mi asombro de cómo puede ser que un ser humano haya infligido tanto dolor, no solo a otros seres humanos, sino a sus propios compatriotas y, además, jóvenes que no habían tenido tiempo casi de despertar a la vida...
Escribo esta entrada porque me gustaría compartir las tres o cuatro ideas que no se me van de la cabeza en relación a estos tremendos sucesos.
¿Se podría haber evitado?
Bueno, probablemente sí... ahora que sabemos lo que ha pasado seguro que somos capaces de identificar eventos, sucesos que deberían haber hecho disparar alguna alarma. Aunque no es menos cierto, como siempre recalca B.Schneier, que "los puntos son más fáciles de conectar después de los sucesos pero antes es prácticamente imposible": ¿No se controlan los elementos que permiten construir un artefacto explosivo?, ¿no se registran las adquisiciones de abono que pueden utilizarse para fabricar bombas? ¿no se...?
La pregunta que debiéramos hacernos sería, ¿qué precio deberíamos pagar para evitar sucesos tan extraordinarios? Hago esta pregunta porque utilizando modelos como el de zero trust (confianza cero - propuesto por un analista de Forrester), para evitar este tipo de eventos hemos de registrar y analizar la actividad de todos los individuos para detectar comportamientos "anómalos"... es decir, la aplicación de este modelo nos llevaría a un modelo de Estado - Gran Hermano que registra y controla la actividad de todos sus ciudadanos, vamos que, adiós a nuestra libertad. Sinceramente, no lo veo.
Otra vez, un cisne negro
Efectivamente, ¿quién, en su sano juicio, se iba a imaginar que algo como lo ocurrido podía suceder? Al margen de que la situación en Noruega fuera o no excesivamente relajada [yo no voy a entrar a valorarlo], si alguien hubiera dibujado este escenario y hubiera defendido que era necesario prevenirlo, o lo habrían despedido, o habrían desechado su protección por la baja probabilidad de ocurrencia.
Entonces, ¿qué podemos hacer para prevenir los cisnes negros? Bueno, me temo que no podemos predecir el futuro. Si hacemos caso al bueno de Taleb, solo nos queda "centrarnos en las consecuencias, no desperdiciar esfuerzos en tratar de estimar la probabilidad, y prepararnos para la siempre brusca aparición de un cisne negro". Es decir, ¿no estamos hablando de resiliencia?
Los insiders son los peores
Sabemos desde hace mucho tiempo que la mayor parte de los incidentes son originados por los usuarios internos, pero sucesos como los ocurridos nos lo enseñan de la manera más cruda posible.
Si sabemos que esto es así, ¿por qué no dedicamos más esfuerzos a concienciar a nuestros usuarios? ¿por qué seguimos invirtiendo en herramientas y descuidamos a los usuarios? Quiero decir, ¿cómo pretendemos evitar la fuga de información con herramientas informáticas cuando tenemos dentro de nuestra organización una masa laborar profundamente descontenta y totalmente desalineada con los objetivos de nuestra organización? [me temo que si quieren, van a encontrar la forma de saltarse las medidas]. En realidad, creo que conozco la respuesta: No queremos o no sabemos (o no nos interesa) invertir de verdad en las personas; el esfuerzo es mucho mayor en orden de magnitud que si instalamos una nueva herramienta.
¿No hay otra forma de enfocar el problema?
Creo que hay evolucionar en esto de la gestión de la seguridad... Hay demasiados indicadores que nos están empujando irremediablemente:
Escribo esta entrada porque me gustaría compartir las tres o cuatro ideas que no se me van de la cabeza en relación a estos tremendos sucesos.
¿Se podría haber evitado?
Bueno, probablemente sí... ahora que sabemos lo que ha pasado seguro que somos capaces de identificar eventos, sucesos que deberían haber hecho disparar alguna alarma. Aunque no es menos cierto, como siempre recalca B.Schneier, que "los puntos son más fáciles de conectar después de los sucesos pero antes es prácticamente imposible": ¿No se controlan los elementos que permiten construir un artefacto explosivo?, ¿no se registran las adquisiciones de abono que pueden utilizarse para fabricar bombas? ¿no se...?
La pregunta que debiéramos hacernos sería, ¿qué precio deberíamos pagar para evitar sucesos tan extraordinarios? Hago esta pregunta porque utilizando modelos como el de zero trust (confianza cero - propuesto por un analista de Forrester), para evitar este tipo de eventos hemos de registrar y analizar la actividad de todos los individuos para detectar comportamientos "anómalos"... es decir, la aplicación de este modelo nos llevaría a un modelo de Estado - Gran Hermano que registra y controla la actividad de todos sus ciudadanos, vamos que, adiós a nuestra libertad. Sinceramente, no lo veo.
Otra vez, un cisne negro
Efectivamente, ¿quién, en su sano juicio, se iba a imaginar que algo como lo ocurrido podía suceder? Al margen de que la situación en Noruega fuera o no excesivamente relajada [yo no voy a entrar a valorarlo], si alguien hubiera dibujado este escenario y hubiera defendido que era necesario prevenirlo, o lo habrían despedido, o habrían desechado su protección por la baja probabilidad de ocurrencia.
Entonces, ¿qué podemos hacer para prevenir los cisnes negros? Bueno, me temo que no podemos predecir el futuro. Si hacemos caso al bueno de Taleb, solo nos queda "centrarnos en las consecuencias, no desperdiciar esfuerzos en tratar de estimar la probabilidad, y prepararnos para la siempre brusca aparición de un cisne negro". Es decir, ¿no estamos hablando de resiliencia?
Los insiders son los peores
Sabemos desde hace mucho tiempo que la mayor parte de los incidentes son originados por los usuarios internos, pero sucesos como los ocurridos nos lo enseñan de la manera más cruda posible.
Si sabemos que esto es así, ¿por qué no dedicamos más esfuerzos a concienciar a nuestros usuarios? ¿por qué seguimos invirtiendo en herramientas y descuidamos a los usuarios? Quiero decir, ¿cómo pretendemos evitar la fuga de información con herramientas informáticas cuando tenemos dentro de nuestra organización una masa laborar profundamente descontenta y totalmente desalineada con los objetivos de nuestra organización? [me temo que si quieren, van a encontrar la forma de saltarse las medidas]. En realidad, creo que conozco la respuesta: No queremos o no sabemos (o no nos interesa) invertir de verdad en las personas; el esfuerzo es mucho mayor en orden de magnitud que si instalamos una nueva herramienta.
¿No hay otra forma de enfocar el problema?
Creo que hay evolucionar en esto de la gestión de la seguridad... Hay demasiados indicadores que nos están empujando irremediablemente:
- La realidad es, cada vez, más compleja.
- El enfoque preventivo y basado en el cálculo de la probabilidad nos está dando demasiados disgustos.
- Los individuos siguen siendo el eslabón más débil [el factor limitante, para los frikis de TOC].
En fin, necesitaba compartir lo que me bullía en la cabeza...
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
No hay comentarios:
Publicar un comentario