Framework para la identificación de vendedores de humo en Seguridad de la Información / Seguridad Informática / Cyberseguridad

(Alejandro Mauro) #1

Seguridad e Información en Salud. Deberían estar MUY relacionadas, pero lamentablemente no siempre lo están.

Si recibes a hackers blancos en tu oficina, ten preparado este framework de preguntas para ver si te están ofreciendo puro humo.

Escenario 1 del Vendedor de humo (ejemplos de frases)

  • “Con nuestro/s producto/servicio/s su organización podrá tener certeza absoluta o un control total […sobre o acerca de xxxx…]…”
  • “Nuestro/s producto/servicio/s brinda/n un 100% de seguridad…”
  • “Nuestro producto/servicio/plataforma es totalmente seguro / inviolable / imposible de hackear…”
  • Y otras frases similares…

Estar alerta:
Cualquier frase que mencione o aluda a alguna garantía “absoluta” que pueda brindar el producto-servicio ofrecido o que contenga en sí misma absolutos (“todo”, “siempre”, “total”, “100%”, “absoluto”, “cualquiera”, “imposible” etc.) debe ser una señal de alerta.

Realidad técnica (fundamento de la “alerta”)

  • No existe la seguridad al 100% en ningún contexto.
  • Además la seguridad no es un producto, sino que más bien un proceso (una cadena de procesos).
  • Las personas honestas intelectualmente (o que saben de lo que hablan y son honestas) generalmente usan frases del tipo “mitigar/reducir/minimizar el riesgo de…”, “reducir la probabilidad que algo ocurra”, etc. (no absolutos)

Escenario 2 del Vendedor de humo (ejemplos de frases)
“Manejamos muy bien la seguridad de la [ficha clínica/sistema/nuestro producto/lo que sea…] porque tenemos muy buenos mecanismos de control/autorización de los accesos de los usuarios y además guardamos el registro de lo que hacen de todas formas.”

Estar alerta a:
Cualquier frase o discurso que finalmente deje entrever que quien habla está pensando o se está enfocando en sólo uno o dos de los aspectos principales de lo que se entiende por seguridad de la información. En el ejemplo de arriba el interlocutor se está refiriendo únicamente a uno de los aspectos (básicamente el control de acceso, o sea principalmente el tema de la confidencialidad). ¿Y el resto?

Es bueno asegurarse que el producto, sistema, software, plataforma -o lo que sea que se está describiendo- también enfrenta adecuadamente los otros aspectos en los que se enfoca la Seguridad de la Información (ver abajo).

La Seguridad de la Información se enfoca principalmente en una tríada de aspectos:

  • Confidencialidad
  • Integridad
  • Disponibilidad

Mencionar sólo una o dos de ellas al describir un producto o lo que fuera que se está vendiendo es reductivo e insuficiente.

Adicionalmente hay que tener presente que dicho enfoque debe llevarse a todos los “estados” en los que se puede encontrar la información manejada por un sistema:

  • En tránsito/en transmisión
  • Almacenada (at rest) y
  • Procesándose

Y como si esto no fuera suficiente, también hay que tomar en cuenta los distintos factores que pueden afectarlas:

  • Tecnología
  • Políticas y prácticas
  • Factor humano

Para más información ver el famoso Cubo de McCumber https://en.wikipedia.org/wiki/McCumber_cube

Addendum: 2 preguntas -supuestamente banales- de “test” para asesores, expertos o vendedores de soluciones en Cyberseguridad:

A. ¿ Qué es lo que debieramos proteger en materia de cyberseguridad ?

Hay dos macro-categorías de “cosas” que se precisa proteger. Pero a menudo incluso “expertos” mencionan sólo una de ellas.

Normalmente se generaliza para hablar de “activos” que hay que proteger (muy en general). Pero en realidad hay que bajar un poco más en detalle para entender bien de qué estamos hablando, por banal que pueda parecer.

Estas son las dos “cosas” o tipos de activos que hay que proteger:

  1. Información (sobre todo si es sensible) y los sistemas que la manejan (sobre todo si son críticos para la vida de las personas o la misión organizacional)

  2. Dispositivos e Infraestructura (sobre todo si es crítica para la vida de las personas o la misión organizacional) : por ej. sensores-monitores, dispositivos médicos, sistemas de control industrial, de tráfico aéreo, sensores/IoT, dispositivos, más en general cualquier sistema o dispositivo para controlar o interactuar con el mundo físico también (y que en algunos casos pueden incluso afectar la salud y la seguridad física de las personas).

B. ¿ Qué información sería “sensible” ?

Si bien es cierto que hay legislación y regulaciones (según el país) que por un lado definen lo que sería “información sensible” en su jurisdicción (por ej. Información de salud, orientación sexual, filiación política, etc.) y sobre la cual aplican especiales restricciones y exigencias para su tratamiento, la mayor o menor sensibilidad de una información depende también de cada organización, de su misión, objetivos y otros aspectos que pueden diferir de otras organizaciones. Entonces cada organización debiera llevar a cabo su “clasificación” de la información.

Frase del día (sobre las constraseñas):

“Las contraseñas son como la ropa interior: no dejes que otros las vean, cámbialas con frecuencia y no las compartas con desconocidos”. Jeff Jarmoc

2 me gusta