Compartir a través de

Las leyes inmutables de la seguridad

  • Artículo

Las leyes inmutables originales de la seguridad identificaban las principales verdades técnicas que rompían los mitos de seguridad frecuentes de aquellos tiempos. Con ese ánimo, publicamos un nuevo conjunto de leyes complementarias centradas en derribar los mitos predominantes en el mundo actual de riesgo omnipresente en materia de ciberseguridad.

Desde las leyes inmutables originales, la seguridad de la información ha pasado de ser una disciplina técnica a una disciplina de administración de riesgos de ciberseguridad que incluye la nube, IoT y dispositivos OT. Ahora, la seguridad forma parte del tejido de nuestras vidas diarias, discusiones de riesgos empresariales y elecciones.

A medida que muchos de nosotros en el sector seguíamos este viaje a un nivel más alto de abstracción, vimos surgir patrones de mitos comunes, sesgos e incertidumbre en la capa de administración de riesgos. Decidimos crear una nueva lista de leyes para el riesgo de ciberseguridad manteniendo las leyes originales (v2) tal cual (con un único y ligero cambio de "chico malo" por "actor malo" para ser totalmente correctos e inclusivos).

Cada conjunto de leyes se ocupa de aspectos diferentes de la ciberseguridad, del diseño de soluciones técnicas sólidas frente a la administración de un perfil de riesgo de organizaciones complejas en un entorno de amenazas en constante cambio. La diferencia en la naturaleza de estas leyes también ilustra la difícil naturaleza de navegar por la ciberseguridad en general. Los elementos técnicos tienden hacia lo absoluto, mientras que el riesgo se mide en probabilidad y certeza.

Dado que es difícil hacer predicciones, especialmente sobre el futuro, sospechamos que estas leyes podrían evolucionar con nuestra comprensión del riesgo de la ciberseguridad.

Diez leyes de riesgo de ciberseguridad

  1. El éxito de la seguridad es arruinar la rentabilidad de la inversión del atacante: la seguridad no puede alcanzar un estado de seguridad perfecto, por lo que debe disuadirles perturbando y degradando su rentabilidad de la inversión (ROI). Aumente el costo del atacante y disminuya el rendimiento de sus activos más importantes.
  2. No mantenerse al día es quedarse atrás: la seguridad es un viaje continuo. Debe seguir avanzando porque cada vez será más barato para los atacantes hacerse con el control de sus activos. Debe actualizar continuamente los parches de seguridad, las estrategias, el conocimiento de las amenazas, el inventario, las herramientas, la supervisión, los modelos de permisos, la cobertura de las plataformas y cualquier otra cosa que cambie con el tiempo.
  3. La productividad siempre gana: si la seguridad no es fácil para los usuarios, trabajan en torno a ella para realizar su trabajo. Asegúrese siempre de que las soluciones sean seguras y utilizables.
  4. A los atacantes no les importa: los atacantes utilizan cualquier método disponible para entrar en su entorno y acceder a sus activos, incluidas impresoras en red, termómetros de peceras, servicios en la nube, ordenadores personales, servidores, Macs o dispositivos móviles. Influyen sobre los usuarios o los engañan, aprovechan errores de configuración o procesos operativos poco seguros, o simplemente piden contraseñas en un correo electrónico de phishing. Su trabajo es comprender y quitar las opciones más fáciles, más baratas y útiles, como cualquier cosa que conduce a privilegios administrativos en todos los sistemas.
  5. La priorización despiadada es una habilidad de supervivencia: nadie tiene suficiente tiempo y recursos para eliminar todos los riesgos para todos los recursos. Comience siempre con lo que es más importante para su organización o más interesante para los atacantes y actualice continuamente esta priorización.
  6. La ciberseguridad es un deporte en equipo: nadie puede hacerlo todo, por lo que siempre debe centrarse en las cosas que solo usted (o su organización) puede hacer para proteger la misión de su organización. Si los proveedores de seguridad, los proveedores de la nube o la comunidad pueden hacerlo mejor o más barato, que lo hagan.
  7. La red no es tan fiable como cree que es: una estrategia de seguridad que se basa en contraseñas y confiar en cualquier dispositivo de intranet solo es marginalmente mejor que la falta de estrategia de seguridad. Los atacantes evitan fácilmente estas defensas, por lo que el nivel de confianza de cada dispositivo, usuario y aplicación debe demostrarse y validarse continuamente, empezando por un nivel de confianza cero.
  8. Las redes aisladas no son seguras automáticamente: aunque las redes con cobertura aérea pueden ofrecer una gran seguridad si se mantienen correctamente, los ejemplos de éxito son extremadamente raros porque cada nodo debe estar aislado del riesgo exterior. Si la seguridad es lo suficientemente crítica como para colocar los recursos en una red aislada, debe invertir en mitigaciones para abordar la conectividad potencial a través de métodos como medios USB (por ejemplo, necesarios para las revisiones), puentes entre la red de la intranet y dispositivos externos (por ejemplo, ordenadores portátiles de proveedores en una línea de producción) y amenazas internas que podrían eludir todos los controles técnicos.
  9. El cifrado por sí solo no es una solución de protección de datos: el cifrado protege frente a ataques fuera de banda (por ejemplo, paquetes de red, archivos y almacenamiento), pero los datos solo son tan seguros como la clave de descifrado (fuerza de clave + protecciones contra robos y copias) y otros medios de acceso autorizados.
  10. La tecnología no resuelve los problemas de personas y procesos: mientras que el aprendizaje automático, la inteligencia artificial y otras tecnologías ofrecen saltos sorprendentes en la seguridad (cuando se aplican correctamente), la ciberseguridad es un desafío humano y nunca se resolverá solo con la tecnología.

Referencia

Leyes inmutables de la seguridad (versión 2.0)

  • Ley número uno: si un actor malintencionado le convence para ejecutar un programa en su equipo, el equipo ya no es solo suyo.
  • Ley número dos: si un actor malintencionado puede alterar el sistema operativo de su equipo, el equipo ya no es suyo.
  • Ley número tres: si un actor malintencionado tiene acceso físico sin restricciones a su equipo, ya no es su equipo.
  • Ley número cuatro: si permite que un actor malintencionado ejecute contenido activo en su sitio web, ya no es su sitio web.
  • Ley número cinco: las contraseñas no seguras debilitan la seguridad sólida.
  • Ley número seis: un equipo solo es tan seguro como la confianza que transmite el administrador.
  • Ley número siete: los datos cifrados son tan seguros como su clave de descifrado.
  • Ley número ocho: un escáner de malware obsoleto es solo mínimamente mejor que ningún escáner en absoluto.
  • Ley n.º 9: El anonimato absoluto no es prácticamente factible, ya sea en línea o sin conexión.
  • Ley número diez: la tecnología no es la panacea.