Otro de mis temas recurrentes, la ciberseguridad, supongo que mientras soy bombardeado de noticias, los temas me irritan incrementalmente la ciberseguridad es uno de esos ambiguos y genericos.
Hoy voy a renegar sobre las puntaciones, que siempre se mezcla o todo se origina en las metricas sin valor articulo que siempre cito, porque es el origen de todos los males.
¿Que es una puntuacion de ciberseguridad? Hay varias iniciativas de comunidades publicas, academicas e intelectuales que buscan la mejora del ser humano. Estas comunidades documenatan sobre vulnerabilidades o exploits para que las empresas corrijan sus software. Los CVE hay muchas y variadas de diferentes origenes.
Sin embargo esto es un trabajo de investigacion dificil, complejo, que interesa a diferentes empresas en industrias. De cualquier rubro que utilice tecnologia, desde Financiera, a Agropecuaria, a las mismas grandes tecnologicas que prestan servicios.
Y en ambientes sumamente regulados, ¿como te proteges? o ¿como sabes la seguridad que tienes aplicada? o ¿como decides que tan seguro eres?
Una de las peores frases de DevOps, o bueno, una de las que mas facil se puede degenerar, la frase no tiene nada de malo, es “Si no lo puedes medir, no lo podras generar”.
Y alli es donde se origina los ‘Scores’ o ‘Puntuaciones’ de ciberseguridad, Indices arbitrarios que en comparacion con algun CVE te indica, que tan protegido, o que tan vulnerable eres.
Estos numeros muchas veces sin criterio, o con fuentes irresolubles, son aplicados por sistemas que escanean componentes en una red, intentando diferentes ataques, o validando los HASH de diversos archivos encontrar o descubrir vulnerabilidades.
Los antivirus son software que podria tener esta funcionalidad.
Entonces posterior al escaneo, y la posible solucion para ‘mitigar’ las vulnerabilidades conocidas, alguna persona con poder de tomar decisiones. Normalmente un gerente, es obligado a tomar accion para mitigar y mejorar la puntuacion de ciberseguridad.
Las puntuaciones en si, no tienen nada de malo, de hecho permite entender sistemas complejos, pero lo que hacen las personas con los ‘planes de accion’ para resolverlo, o los criterios profesionales que se toman para cumplir, en mi experiencia en bastantes años, y en bastantes empresas, que incluso entre paises diferentes, toman la iniciativa, sus iniciativas son en mi opinion, pateticas y futiles. Ya que mejorar el sistema nunca es la primera opcion, la primera opcion es mejorar el indicador.
¿Como podemos mejorar esto? Normalmente las puntuaciones de ciberseguridad, y los analisis de vulnerabilidades, tienen detalles especificos de como mejorar. Y lo ideal es como organizacion entender todos las vulnerabilidades, antes de resolverlas. En los casos donde aplican.
Hay ‘vulnerabilidades’ que pueden ser por ejemplo ‘Actualizar la version 128 de Chrome a 129’. ¿La version mas nueva acaso siempre es la mas segura? Las versiones de chrome actualizan cada mes. Es decir que todos los meses para cientos o miles de empleados ¿debes forzar actualizaciones? ¿Es decir que de forma constante se estan actualizando o exponiendo los sistemas a fallas desconocidas? Ni hablemos del caso de Crowstrike en 2024.
A fin de cuenta la decision de los indicadores y los planes de accion, dependen de cada organizacion y como los aplican. Los vendedores siempre van a comunicar que su indicador es mejor o que su sistema da mayor cobertura. Pero las necesidades de cada sistema, son propias de cada uno, y complementan la necesidad del negocio.
Por lo tanto es importante no ser consumidos por numeros arbitrarios, sino por los valores intangibles de nuestros servicios. Aunque esto termine en otra metrica ‘racional’ y arbitraria.