Cerca del final de una reciente columna mencioné, casi bruscamente:
La última vez que hubo un turno... de la forma en la cual estaba organizada la operación de la tecnología de la información, nos trasladamos desde una centralización masiva, basada en mainframes, a un procesamiento distribuido. Sinceramente, nosotros los profesionales de la seguridad de la información no manejamos en buena forma esa situación.1
Esa declaración cristalizó en mi mente algunos pensamientos que me habían estado fastidiando por un tiempo. Desde Pune, India, me escribió Girish Desmukh y me llamó para comentar sobre lo que yo había escrito: “¿puede ser posible para usted dar algunos ejemplos sobre lo que sucedió cuando la seguridad de la información se vio socavada durante el cambio hacia un procesamiento descentralizado?”. Buena pregunta, Sr. Desmukh, y digna de una respuesta pública.
Seguridad en la era distribuida
En el momento en el cual escribí las frases que ahora cito, mis pensamientos sobre el tema no estaban claramente articulados en mi cabeza, ni tampoco hice un seguimiento lógico de lo que ese momento escribí. Al considerar después a éstos, me doy cuenta de que hay muchas señales de que la seguridad de la información no está donde debería estar. En particular, la ubicuidad de los ciberataques subraya que aquellos de nosotros que tenemos la responsabilidad profesional de la seguridad de los sistemas de información hemos fallado en nuestro mandato. Sí, esa es una declaración muy dura, pero para mí, la evidencia es abrumadora. Desde el momento en que los sistemas distribuidos superaron a las computadoras centralizadas como la arquitectura dominante para administrar la información, se ha producido un flujo constante de virus, gusanos, ataques de denegación de servicio, botnets y ciberataques que han plagado a las organizaciones, grandes y pequeñas, públicas y privadas. En cierto sentido, hemos podido mitigar estas amenazas, pero no lo suficiente como para reclamar un éxito significativo.
Considerando una amplia visión histórica de los sistemas de información, ha habido dos épocas: una centralizada (aproximadamente, 1950-1985) y otra distribuida (1985 al presente). En la primera era centralizada de la computación estábamos ciertamente preocupados por la seguridad, y hubo brechas, pero ni cercanamente a la frecuencia y magnitud a las que hoy enfrentamos.2 En la medida que los sistemas distribuidos se masificaron, también lo hizo el problema de las fallas masivas en la seguridad.3 Ellas han continuado creciendo hasta el día de hoy en cuanto a sofisticación e impacto.
Influencia profesional
Podríamos haber sido capaces de haber detenido la actual profusión de problemas de seguridad si los profesionales de la seguridad de la información hubieran tenido más influencia en sus organizaciones en los primeros días de los sistemas distribuidos. En muchos casos, incluso en las grandes organizaciones, el jefe de la función de seguridad de la información fue la primera persona en esa posición y a menudo era una sola persona. Ha tomado una generación para que el jefe de seguridad de la información (CISO) obtenga una prominencia organizacional, ello en gran medida impulsado por una mayor comprensión por parte de la alta gerencia de que las amenazas a los sistemas de información son de naturaleza estratégica. Es irónico que este aumento de la prominencia de la función se haya dado porque en el área de la seguridad de la información hemos sido incapaces de contrarrestar el flujo creciente de la inseguridad de los sistemas.
Seguridad centralizada para sistemas distribuidos
Casi todos los primeros líderes en el campo de la seguridad de la información aprendieron su oficio en los sistemas del tipo mainframe. Y por lo tanto, intentaron imponer un modelo de seguridad centralizado en una arquitectura distribuida, lo cual nunca encajaría. Esto se debe a que no existe un punto central en el cual pudieran aplicarse controles de acceso y otras medidas de seguridad.
Precisamente porque son distribuidos, los sistemas pueden comunicarse con otros sistemas y pasarse el control entre ellos. Muchas veces he pedido a los profesionales de la seguridad de la información una descripción de las interacciones de los sistemas de los cuales son responsables. He recibido diagramas de espaguetis, si es que tuvieran alguno. Tal mezcolanza no se puede asegurar en forma central.
Buscando el botón mágico
En gran medida, nos hemos pasado los últimos 30 años en la seguridad de la información buscando un botón mágico, un paquete de software o una técnica que nos resuelva el problema de seguridad. Estábamos condicionados para tal tipo de búsqueda porque teníamos una solución en la era centralizada. Los mecanismos de control de acceso para los ordenadores del tipo mainframe se introdujeron a mediados de la década de 1970, y realmente proporcionaban una herramienta eficaz para implementar la seguridad, era una solución centralizada para un problema centralizado.
No hay un equivalente en la era distribuida, aunque el Active Directory (AD) se acerque. Sin embargo, el AD sólo funciona en entornos de Microsoft Windows y muchos sistemas distribuidos se ejecutan en plataformas que no son Windows. Por otra parte, los muy bien publicitados fallos de seguridad en las sucesivas versiones de Windows4 socavan la efectividad del AD.
No ha habido una escasez de panaceas, incluyendo el software antivirus, firewalls, la infraestructura de clave pública (PKI),5 la encriptación, la detección y prevención de intrusiones y, últimamente, la tecnología blockchain.6 Cada una de estas soluciones ha tenido sus propósitos; algunas han sido ampliamente utilizadas; otras han sido superadas por el tiempo. Ninguna ha “resuelto” la seguridad de la información.
En gran medida, la seguridad de la información nunca será “resuelta”, porque las soluciones son finitas y el problema es ilimitado. Ni los sistemas ni las poblaciones de usuarios son estáticos. Si hoy en día cada individuo fuera capaz de acceder sólo a los sistemas e información para la cuales él o ella fueron autorizados, mañana habría todavía nuevos sistemas, nuevos usuarios y nuevos tipos de ataques maliciosos. Los problemas de autorización, identificación y protección permanecerán siempre. El botón mágico no será encontrado porque éste no puede existir.
Gestión de riesgos y aspectos económicos
El grado en que las soluciones se pueden abordar está más limitado hoy por la gestión del riesgo y por aspectos económicos más que por la tecnología. Los profesionales de la seguridad de la información han estado elevando durante años una protesta sobre el riesgo de los ciberataques. Sin embargo, las consecuencias económicas, aunque graves, no han sido corroborados a un nivel macro.
Como las brechas de seguridad se han vuelto cada vez más comunes, las consecuencias han demostrado ser menos severas de lo que la gente de seguridad ha pronosticado. Un erudito ha señalado que es raro que una organización atacada sea restringida financieramente.7 No es que solo casi todas las víctimas de ciberataques hayan permanecido cómodamente con sus negocios; los precios de sus acciones hayan bajado brevemente y luego, regresaron al punto donde estaban antes de los ataques o incluso han visto resucitar sus negocios. Las corporaciones tienen menos incentivos para invertir en la prevención, si ellas saben que el precio de su acción se mantendrá. Esta renuencia tiene un costo en la economía general y en la privacidad de los consumidores.8 Pero los líderes de seguridad de la información han sido duramente presionados para demostrar que se logra una mejora marginal por el dinero adicional gastado.
Por lo tanto, lo mejor que se puede decir es que las organizaciones más seguras hoy en día son tan seguras como ellas pueden serlo, considerando las limitaciones financieras y de la tecnología. La gerencia de cada organización debe decidir si es lo suficientemente segura. La comunidad de los profesionales de la seguridad de la información debe determinar si podemos mejorar lo que hemos logrado en los últimos 35 o más años. Mi opinión es que nos hemos quedado en un rincón: No podemos mejorar sustancialmente la seguridad sin hacer cambios fundamentales en la arquitectura subyacente que intentamos proteger.
Notas del Autor
No soy fan de los artículos que señalan un problema y que no ofrecen ideas sobre qué hacer al respecto. Este artículo es uno de esos. Mi única excusa es que me he salido del espacio que el editor me ha asignado. Le prometo que, habiéndose pronunciado por qué hemos fracasado, abordaré en el próximo número cómo podríamos tener éxito.
Notas finales
1 Ross, S.; “Security in the Migration to a Multi- Modal environment,” ISACA Journal, vol. 3, 2018, https://www.isaca.org/resources/isaca-journal/issues
2 The manufacturer of the operating system most widely used then by large enterprises was able to claim that it would prevent any bypasses of security. Of course, the manufacturer did not accept responsibility for consequential damages, only that it would fix any flaws. Nonetheless, such a warranty is more than other vendors are willing to offer today. See Viz. IBM z/OS® System Integrity Statement, ftp://public.dhe.ibm.com/s390/zos/racf/pdf/zOS_System_Integrity_Statement.pdf. I was unable to find the original 1973 statement on the web.
3 I would say that the first of these occurred in 1988, the early years of the distributed era. It was the so-called Morris Worm, which brought down thousands of computers on the Internet at the time when the Internet was little more than a small town where people thought little of leaving their doors unlocked. Lee, T. B.; “How a Grad Student Trying to Build the First Botnet Brought the Internet to Its Knees,” The Washington Post, 1 November 2013, https://www.washingtonpost.com/news/the-switch/wp/2013/11/01/how-a-grad-student-trying-to-build-the-first-botnet-brought-the-internet-to-its-knees/?noredirect=on&utm_term=.5af91f3c066e
4 Publications on this topic are too numerous to list here. See CVe Details for 50 reported flaws in Windows 10 alone, https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-32238/Microsoft-Windows-10.html.
5 My first article in this space was Ross, S.; “If PKI Is the Answer, What Is the Question,” ISACA Journal, vol. 4, 1998. I have been a skeptic for a long time.
6 Blockchain shows great promise for some applications, but is not a universal security solution. I have great confidence that, in time, someone will find a way, if not to break blockchain, to go around it.
7 Stultz, R. M.; “What Is the Impact of Successful Cyberattacks on Target Firms?” Harvard Law School Forum on Corporate Governance and Financial Regulation, 30 March 2018 https://corpgov.law.harvard.edu/2018/03/30/what-is-the-impact-of-successful-cyberattacks-on-target-firms/
8 Kvochko, E.; R. Pant; “Why Data Breaches Don’t Hurt Stock Prices,” Harvard Business Review, 31 March 2015, https://hbr.org/2015/03/why-data-breaches-dont-hurt-stock-prices
Steven J. Ross, CISA, CISSP, MBCP
Es el ejecutivo principal de Risk Masters International LLC. Ross ha estado escribiendo una de las más populares columnas del Journal desde 1998. El puede ser ubicado en la dirección stross@riskmastersintl.com.