11 junio 2007

El eslabón más débil de la cadena

A cualquier profesional le suena: "La seguridad es como una cadena, es tan fuerte como el eslabón más débil". Esto lo decimos por varios motivos: Para enfatizar la naturaleza de seguridad como proceso, como sistema, pero también para entender que se trata de una posición de defensa débil, es decir, el defensor tiene que defender todos los puntos, mientras que al atacante le basta con encontrar un punto vulnerable para tener éxito en su ataque.

Sin embargo, aunque todos estamos convecidos de que esto es así, muy pocos (por no decir, ninguo) gestionamos este proceso conforme a esta máxima. ¿Por qué digo esto? Porque si gestionáramos la seguridad teniendo este paradigma in mente, lo mejor sería emplear la misma estrategia que cualquier otro sistema cuya producción esté gobernada por su factor limitante. Me explico, después de identificarlo, habría que hacer que este factor limitante produjese al máximo nivel.
Esta forma de gestionar la seguridad cambiaría sobremanera el enfoque actual del proceso de gestión. Si seguimos lo establecido en los estándares, por ejemplo, el archi-conocido ISO/IEC 27001 que establece las pautas para montar un Sistema de Gestión de la Seguridad de la Información (SGSI) "certificable", tenemos que (como ya hemos comentado aquí anteriormente) llevar a cabo un análisis de riesgos que nos permita identificar el nivel de riesgo por cada área o dominio del alcance establecido y pasar a gestionar el riesgo en función de la estrategia definida.
Si planteamos la seguridad como un sistema en el que el output fuera el nivel de seguridad de la organización (parece obvio, ¿no?), el máximo nivel estaría marcado por el máximo caudal que pudiera gestionar el cuello de botella del sistema, es decir, el nivel de seguridad de la organización sería el del eslabón más débil de la cadena...
¿Cuál es la diferencia entre estas dos maneras de gestionar la seguridad? Según yo lo entiendo, la diferencia es que no tendría tanto interés realizar un análisis de riesgos como el hecho de encontrar cuál es el factor limitante, cuál es el eslabón más débil, puesto que sería el que marcaría el nivel de seguridad de nuestra organización. A partir de ahí, si quisiéramos elevar el nivel de seguridad de nuestra organización, lo que tocaría sería gestionar esa limitación y eso, ya se sabe, hay que preguntarle a Goldratt el cómo...

3 comentarios:

Mario dijo...

Mi respuesta, aquí:
http://nodos.typepad.com/nodos_prime/2007/06/seguridad_de_la.html

Antonio Ramos dijo...

Ya veo por donde vamos: No caer en el error de intentar optimizar un subsistema.

De todas formas, creo que sigue teniendo validez lo que comentaba: Enfrentados a la gestión de la seguridad sobre un activo, ¿cómo lo hacemos? Es aquí donde entraría lo comentado en mi post, en identificar la amenaza que supone un menor nivel de seguridad de nuestro activo y reduciendo, bien su probabilidad, bien su impacto.

Todo ello, porque el nivel de riesgo de un activo NO es el SUMATORIO de los niveles de riesgo de todas las amenazas, sino el MÁXIMO de dichos niveles.

Mario dijo...

La tentación de "suboptimizar", si es que la palabreja existe, es muy fuerte!!
Buena apreciación la que haces con referencia al nivel de riesgo de un activo, sí señor :-)