Esta semana tuve la oportunidad de asistir a la charla de Fred Piper durante la VII Jornada Internacional del ISMS Forum (ya os dije que teníais que venir...) y tuve uno de esos momentos reveladores: ya sabéis, ese momento en el que alguien dice algo obvio pero que al verlo escrito negro sobre blanco impacta sobremanera sobre uno.
En concreto, fue una frase de Fred en la que venía a decir algo así como que el objetivo de la gestión de la seguridad era minimizar la suma de dos costes, por un lado, el coste de las medidas de seguridad y, por otro, el de la inseguridad. La verdad es que algo obvio, ¿no? Pero no sé, el caso es que debió recordarme a mis clases de Economía en la Facultad y, como decía el anuncio aquel: "M'a impactao".
¿Cuál es la potencia de esta frase? Bueno, pues que, en el fondo, "reduce" la gestión de las seguridad a un problema matemático: Minimizar el valor de una fórmula como la siguiente, Cs = Cm + Ci donde Cs es el coste total de la seguridad, Cm es el coste de las medidas que establecemos y Ci es el coste de la inseguridad (o de la no-seguridad).
Las dificultades que nos encontramos en el día a día para resolver este "sencillo" problema son diversas:
- Para mi, la principal dificultad es que el coste de la inseguridad es un coste oculto (en muchos casos). Normalmente porque, en realidad, ese coste lo sufren otros (es una externalidad) como pueden ser los casos de software con fallos de seguridad, brechas de seguridad con robo de datos de clientes, empleados... o un proveedor se servicios en la nube con una insuficiente seguridad que ocasiona daños a sus clientes o a los clientes de su cliente...
- Otra dificultad es el componente aleatorio del coste de la inseguridad. Es decir, aunque el software sea inseguro cabe la posibilidad de que no falle o que no se descubra la vulnerabilidad por nadie. Aquí es donde entran en juego los análisis de riesgos que, en teoría, nos deberían ayudar a "estimar" el valor en riesgo (Value at Risk) de forma que el problema de minimización tomara los datos correctos, pero lo de la gestión de la incertidumbre no es nuestro fuerte: subjetividad de las estimaciones, dudosa validez del pasado para predecir el futuro y cisnes negros en general...
Si unimos ambos factores, lo que sucede es que, seguramente, la elección de inversión de seguridad (el único factor sobre el que podemos influir) no será la adecuada, ya que no se habrán tenido en cuenta todos los costes de la inseguridad (bien porque los sufran otros, bien porque todavía no se hayan materializado o porque hayamos errado al calcular el valor en riesgo) provocando, lo que en Economía llamamos, una decisión sub-óptima que minimiza la ecuación utilizada por la organización, pero no la real.
Ya, pero ¿qué podemos hacer? Pues, en mi opinión, la solución pasa por dos aspectos:
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
Ya, pero ¿qué podemos hacer? Pues, en mi opinión, la solución pasa por dos aspectos:
- Incorporar todas las externalidades a la ecuación (por el mecanismos que sea: sanciones, impuestos, etc.)
- Aprender a gestionar la incertidumbre
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
3 comentarios:
Buena reflexión. Comparto las dudas al 100%:
1- El "coste de la inseguridad" (Ci), es un coste potencial, que no real. Incluir todas las externalidades posibles, nos aproximará a esa cantidad bruta "máxima" que puede representar la pérdida de seguridad, siempre desde un escenario "worst case".
El tema es que esta aproximación le encaje a un CFO a la hora de aflojar presupuesto para la compra de las contramedidas (Cm).
2- Derivado del punto anterior, el CFO nos devolverá una frase tipo "no me hables de pérdidas máximas potenciales debido a lo poco seguros que somos" seguido de un maravilloso "háblame en términos reales, probabilísticos y tangibles". Por lo que habrá que recurrir a los maravillosos Análisis de Riesgos, gestionando la incertidumbre, tal y como comenta Antonio.
Se me ocurre que cabría explicarle a más de uno que la "Confianza" (en este caso, confianza en que no suceda nada malo debido a la in-seguridad, por lo tanto, no invierto) no es una contramedida de seguridad en si misma, si no una simple respuesta cerebral (oxitocina) ante determinados eventos externos. De esta forma, sin meternos en probabilidades, análisis de riesgos y demás, podríamos explicarles que su falta de (pre)visión en este tema es una reacción normal, como el síndrome de Estocolmo tras un rapto.
Quizás nos centramos mucho en riesgo y no consideramos también como factor relevante el impacto. Hay veces que tenemos que pensar en si es probable o no cierta amenaza, pero otras, lo que hay que plantearse es si podemos o no permitirnos el incidente. Valga el caso de BP ahora con su pozo descontrolado y la ausencia de planes de contingencia. Aunque la probabilidad fuera escasa, no podían permitirse lo que está pasando y el coste que tendrán que afrontar, luego el coste de la inseguridad justifica (por impacto y no por riesgo) haber tomado medidas.
Respecto al punto 2 de aprender a gestionar la incertidumbre, tenemos también el complejo problema de las interelaciones entre riesgo-miedo que hacen a la gente distorsionar sus percepciones y que generan problemas en el análisis de riesgos. Lo comenté de forma extendida en http://seguridad-de-la-informacion.blogspot.com/2010/04/los-criterios-de-percepcion-del-riesgo.html
Buen artículo, Antonio.
No sé te escapan los paralelismos con los Costes de Calidad de los que hablábamos tanto en los 90. El coste del conjunto de medidas adoptadas para asegurar la calidad [o gestionarla] versus el coste de la no calidad. En aquel caso, hablábamos de defectos, desperdicios, etc.
Fue necesario desarrollar instrumentos para hacer comprender a los decisores en las organizaciones que merecía la pena apostar por la Calidad.
La sensación de 'deja vù', diferencias aparte, es tremenda.
Dicho sea de paso, en aquellos años la Fiabilidad se consideraba [hasta donde sé, se sigue considerando] una dimensión crítica de la calidad. En teoría, trabajar para reducir los Costes de Calidad implica mejorar la Seguridad y viceversa. Seguramente merece la pena rescatar todo aquel conocimiento y ponerlo en práctica en este ámbito de la Seguridad de la Información. Una Information Security Six Sigma Initiative o algo así...
Publicar un comentario