Marvin G. Soto| Especialista en Ciberseguridad, Cybercom CR| boletinclic@camtic.org

La seguridad siempre cambia y la falla siempre existe. Es un escenario tóxico que requiere una nueva perspectiva de cómo pensamos sobre la seguridad digital porque, aunque no lo asumamos, somos la causa principal de nuestros propios incidentes de seguridad.

El hecho simple es que «errar es humano» y los humanos obtenemos el éxito como resultado directo de los fracasos que experimentamos. Es decir; nuestra tasa de fracaso, cómo fracasamos y nuestra capacidad para comprender el fracaso, son elementos importantes para el éxito y nos permite aprender y trasladar la experiencia a los sistemas que construimos, a la forma en que los operamos y a las medidas de seguridad para protegerlos.

Hay una falta de enfoque en lo que respecta a la forma en que abordamos las medidas preventivas de seguridad, y la atención se ha orientado hacia el panorama de ataque en evolución y la necesidad de comprar o construir nuevas soluciones.

Por otro lado, la industria analiza la ciberseguridad y el fracaso de forma aislada o como asuntos independientes y esa falta de perspicacia e inteligencia operativa en nuestros propios fallos de control de seguridad, es una de las causas más comunes de incidentes y por ende de violaciones de datos.

Para ser más crítico, gastamos millones en nuevas tecnologías de aseguramiento operativo, pero raramente analizamos de manera proactiva si esas inversiones en seguridad funcionan para nosotros de manera exitosa. Esto ha resultado en un aumento continuo de la inversión en seguridad para mantenernos al día en la evolución de los ataques.

A pesar de gastar más en seguridad, las filtraciones y violaciones de datos son cada vez mayores y más frecuentes en todas las industrias. Hemos avanzado tan rápido en este camino de la estrategia de «adelantarse al atacante» que no hemos considerado que podamos ser la causa principal de nuestra propia desaparición.

Las fallas recaen no solo en TI, asunto de negocio o factores humanos, sino también en la forma en que diseñamos, construimos, implementamos, configuramos, operamos, observamos y administramos los controles de seguridad.

Dentro de un corto período, las pruebas y la validación de las capacidades de seguridad, las llamaremos «Ingeniería del caos de la seguridad». Algunos expertos en seguridad digital argumentan que identificar y remediar las vulnerabilidades no es suficiente: las soluciones deben prepararse y probarse vigorosamente. Sobre este tema Aaron Rinehart, arquitecto jefe de seguridad empresarial de United Health Group, escribió un artículo en enero 2018 en la revista OpenSource.

Debemos desafiar muchos de los conceptos que habíamos adoptado en nuestras carreras, como la compensación de controles de seguridad, la defensa en profundidad y la forma de diseñar seguridad preventiva. Rápidamente nos hemos dado cuenta de que necesitamos reemplazar el statu quo del modelo de «establézcalo y olvídelo» y en su lugar, ejecutar instrumentación y validación continua de las capacidades de seguridad.

Hay necesidad de un enfoque más pragmático que enfatice la instrumentación proactiva y la experimentación sobre la fe a ciegas. Sucede que, en la industria de la seguridad, tenemos el hábito de no explicar los términos y asumir que estamos hablando todos, el mismo idioma.

Aclaremos las cosas hablando de la teoría del caos…

Los experimentos del caos están fundamentados en el método científico e intentan no validar lo que ya se sabe que es verdadero o que ya se sabe que es falso, sino que se centran en obtener nuevos conocimientos sobre el estado actual.

La disciplina de instrumentación, identificación y solución de fallas dentro de los controles de seguridad a través de la experimentación proactiva pretende generar confianza en la capacidad del sistema para defenderse contra las condiciones maliciosas en el ambiente de producción.

El diseño moderno de aplicaciones tiene una naturaleza evolutiva donde los sistemas se vuelven cada vez más distribuidos, efímeros e inmutables en la forma en que operan. Además, son distribuidos y los cambios son continuos y con una línea muy delgada entre el ambiente de desarrollo y el de producción. En este paradigma cambiante, cada vez es más difícil comprender el estado operacional y la salud de la seguridad de nuestros sistemas.

Un ejemplo: “Una tecnología de firewall estándar puede implementarse, colocarse, administrarse y configurarse de manera diferente dependiendo de las complejidades de la lógica empresarial, las aplicaciones web y de bases de datos y la densidad del perímetro. Su diseño y las pruebas previas no son aplicables por defecto a todos los tipos de ambientes de producción”.

Es aquí donde la ingeniería del caos en la seguridad o la prueba de la seguridad en el caos (Engineering Security Chaos and Security Chaos Testing) son importantes, ya que proporciona una metodología para experimentar la seguridad en sistemas distribuidos suponiendo el peor escenario y sometiendo ese escenario a estrés antes de que el sistema esté en producción con el fin de generar confianza en la capacidad de soportar esas condiciones maliciosas en un ambiente anticipado.

Es decir; busca entender las capacidades de seguridad que deben estar instrumentadas de extremo a extremo bajo premisas como que:

• La seguridad debe estar continuamente instrumentada para generar confianza en la capacidad del sistema para soportar condiciones maliciosas.
• La rapidez de la defensa de un sistema debe evaluarse de forma proactiva para garantizar que estén preparadas para la batalla y que funcionen según lo previsto.
• La cadena de herramientas de capacidad de aseguramiento debe instrumentarse de extremo a extremo para generar nuevos conocimientos, no solo sobre la efectividad de la funcionalidad dentro de la cadena de herramientas, sino también para descubrir dónde se puede agregar valor y mejora continua.
• La instrumentación practicada busca identificar, detectar y remediar fallas en los controles.
• El foco está en la identificación de potenciales vulnerabilidades y fallas, no en la gestión de fallas ya explotadas. Es decir; se busca agudizar la efectividad operativa de la gestión de incidentes.

La ingeniería del caos en la seguridad o la prueba de la seguridad en el caos nos dan esa oportunidad de ver donde podríamos fracasar anticipadamente. Como dijera Henry Ford: «El fracaso es solo la oportunidad de comenzar de nuevo, esta vez más inteligentemente».

IMPORTANTE: Las opiniones expresadas en este artículo son exclusivamente las de los autores y no necesariamente representan la opinión de la Cámara de Tecnologías de Información y Comunicación (CAMTIC) o sus afiliados.