Seguridad basada en anécdotas

Últimamente el sector de la CiberSeguridad cada vez se parece más a un circo. Lo importante es el espectáculo y lo que menos importa es si nuestros sistemas realmente son más seguros.

Siempre se ha dicho que la seguridad es como una cadena, un conjunto de elementos cuya fortaleza depende de que todos ellos sean lo suficientemente robustos. Al final la cadena es tan fuerte como su eslabón más débil.

Siguiendo este principio, deberíamos revisar todos los elementos de nuestra seguridad, para garantizar que todos ellos alcanzan un nivel aceptable. No podemos centrarnos solo en algunos elementos y olvidar el resto.

Sin embargo el sector va en dirección contraria. Lo que vende son las anécdotas, las modas.

Este año toca la moda de los ataques de denegación de servicio distribuidos. Todo el mundo corre a comprar el último “Appliance” y a contratar los últimos servicios de “Threat Intelligence”. ¿Y el resto de frentes, los olvidamos?

Hay también muchos casos de empresas o profesionales, que se han especializado en determinado tipo de vulnerabilidades o de ataques. Cuando contratas un proyecto de auditoria o consultoría con ellos, ya sabes lo que vas a recibir: Con un “Cross Site Scripting” son capaces de entrarte “hasta la cocina”.

Y me parece bien, la especialización en seguridad suele ser algo positivo. Además, debe ser un espectáculo ver a esta gente explotando “su” vulnerabilidad, pero ¿Y el resto de elementos de mi seguridad? ¿Y si no tengo un “Cross Site Scripting”? ¿De verdad merece la pena pagar por un proyecto tan específico? ¿Y los otros 100 tipos de vulnerabilidades que esta empresa no me va a analizar?

En seguridad es raro encontrar recetas mágicas que sirvan para todos los casos. Si tenemos más de un elemento a proteger, no debemos acudir solamente a los que venden siempre lo mismo y tenemos que analizar con la cabeza fría cuales son nuestras necesidades reales de nuestra organización, sin dejar huecos por cubrir ni dejarnos cegar por bonitas “demos”.