miércoles, 20 de mayo de 2009

El estado de la seguridad es como una fotografía.

El estado de la seguridad captura un instante en el tiempo, es equivalente a obtener una fotografía: se obtiene una impresión de en un momento dado. Hoy/ahorita podemos tener un estado "seguro" de la infraestructura o de un equipo, mañana o al rato ese estado bien puede cambiar; no podemos proveer de seguridad por ejemplo a un servidor, dar la vuelta y olvidarnos del asunto. El estado de la seguridad es cambiante, mucho más de lo que podemos pensar.

 

Ejemplifiquemos. Hoy instalamos y configuramos un sistema operativo de la manera más segura posible porque va a estar expuesto a Internet. Mañana lo ponemos en producción y nos olvidamos de ese equipo, digamos, por un año. En 12 meses regresamos y esperamos para ver si sigue “como lo dejamos”. Sorpresa. A la semana siguiente que se puso en producción, se le instalaron parches de seguridad que si bien solucionaron ciertas debilidades, abrieron otras que se descubrieron meses después. Asimismo, le crearon cuentas de usuario "necesarias" y le instalaron una aplicación para dar un "nuevo" servicio. Todo lo anterior modificó el estado de la seguridad dando lugar a uno nuevo que no ha sido evaluado; sencillamente es un estado diferente al que dejamos 12 meses atrás.

 

Cada vez que se llevó a cabo la instalación de una nueva aplicación, el cambio de una configuración o la aplicación de parches, se modificó el estado de la seguridad. Cambios en la infraestructura también modifiquen el entorno: cuando se le quitó el PIX firewall que estaba delante de ese equipo protegiéndolo de las amenazas de Internet por motivos de "presupuesto", se modificaron las condiciones iniciales que tomamos en cuenta para proteger al equipo.

 

Lo anterior es válido para sistemas operativos y otros dispositivos como ruteadores, switches o también para un conjunto de dispositivos que forman la llamada "infraestructura". ¿Qué factores pueden modificar el estado de la seguridad? A continuación de los más importantes que me vienen a la mente:

 

+ Nuevas aplicaciones. Definitivamente creo que la instalación de una nueva aplicación es la principal fuente de modificación del estado de la seguridad. Introduce nuevas debilidades, abre puertos antes cerrados, instala DLL antes inexistentes, habilita servicios antes deshabilitados, etc.

 

+ Configuraciones. Nuevas cuentas de usuario, habilitación o des-habilitación de un servicio, una nueva regla en un ruteador, una carpeta que ahora se comparte, un nuevo mapeo a una unidad externa de red, etc. ¿Cómo impactan estos cambios a la seguridad? ¿Asumimos que no impactan y seguimos adelante (síndrome del avestruz)? ¿Lo evaluamos tan siquiera? Sin saberlo, bien pudimos cambiar el estado de la seguridad por un “simple” cambio cuyas consecuencias se reflejarán más adelante en el tiempo.

 

+ Parches. Los parches de seguridad solucionan debilidades. ¿Introducen nuevas y desconocidas debilidades? Si la respuesta es que no lo hacen, cómo lo podemos demostrar? La teoría dice que los parches no van a introducir nuevas debilidades, en la práctica podemos estar seguros al 100%? En todo caso, tendríamos que hacer el análisis cada vez que se aplica un parche para poder estar seguros de que el estado de la seguridad efectivamente no se modificó.

 

+ Cambios en la infraestructura. Aquí vamos más allá de hablar individualmente de un solo ruteador, un solo servidor o un equipo. Aquí hablamos de cambios en la arquitectura: poner un firewall, quitarlo o cambiarlo por otra marca; hablamos de cambiar de sistema operativo o de remover servidores físicos por virtuales; tal vez hablamos de abrir un nuevo canal de comunicación hacia nuestro socio o proveedor. Todo lo anterior cambió la infraestructura de TI y por lo tanto se modificó el estado de la seguridad de la infraestructura con nuevas implicaciones; inclusive tal vez dichos cambios llevan a un estado más confiable/seguro de la infraestructura…no lo sabremos hasta haberlo evaluado.

 

Conclusión. El estado de la seguridad es un ente cambiante, decir que algo es seguro es únicamente afirmar que así se encuentra en ese momento del tiempo. Es equivalente a preguntar cuántos autos están pasando por “x” caseta de cobro…la respuesta es que depende de en qué día y a qué hora se haga el conteo, y dicha respuesta irá cambiando conforme se modifiquen las condiciones de tráfico de esa caseta. El cambiante estado de la seguridad deriva en llevar a cabo constantes análisis de riesgos para estar evaluando continuamente el nuevo entorno.