Encontré un fenomeno interesante en algunas arquitecturas de ciberseguridad: una especie de confianza intrínseca en las soluciones de seguridad. Esta confianza intrínseca la encuentro a menudo en firewalls, en menor medida en herramientas antivirus y algunas veces en discusiones de redundancia o de alta disponibilidad.
Llamé a este fenomeno “Ciberseguridad basada en la fe”
Se puede notar la ciberseguridad basada en la fe en fabricantes de firewalls que prestan muy poca atención a la visibilidad de eventos. Lo que incide en que, como administradores de estos firewalls, tengamos una falsa idea o sensación de protección o seguridad. O que, por el solo hecho de implementar firewalls en nuestros perimetros las amenazas desaparecen.
Cuando, por el contrario, creo que debemos priorizar la capacidad de visibilidad y analítica de los firewalls y por extensión de cualquier herramienta de ciberseguridad. Basarnos en eventos, datos y reportes para tener certeza de seguridad. Y no solo en el sentimiento de seguridad que nos puede proporcionar o generar una marca.
Como escribía antes, esto ocurre también en herramientas antivirus o antimalware en las que depositamos toda nuestra confianza, sin revisar eventos, anomalías o incidencias que pueden darnos información importante de la situación real de nuestra infraestructura.
Me ha ocurrido también, en etapas de diseño de soluciones en alta disponibilidad o redundancia con argumentos como “tenemos X cantidad de tiempo sin alta disponibilidad y no ha ocurrido nada”. Mi respuesta siempre es que no es cuestión de probabilidad, sino de preparación ante el desastre. Puede que nunca haya ocurrido, pero si puede ocurrir, ocurrirá, parafaseando a Murphy. Eliminando el factor fe en que el equipamiento no puede fallar.
Que no lo veamos no quiere decir que no está ahí. Y si nos ponemos rigurosos, me parece mucho más acertado y diametralmente opuesto basarnos en filosofías de confianza cero, en donde todo es sospechoso hasta demostrar lo contrario (simplificando mucho zero trust).
En resumen, es preponderante inverstigar las capacidades de análitica, reportería y visibilidad al mismo nivel de las funciones de protección o inteligencia de amenazas de la herramienta perse.
Este es un artículo original del blog. Si le parece interesante por favor compártalo.
Abrazo!
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.