El Costo de la acción y la inacción frente a la inevitabilidad de la falla.
- 25/02/2016
- Internacional
Por Jeimy Cano, Ph.D, CFE Jeimy Cano, Ph.D, CFE
Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS.
Uno de los retos más frecuentes en seguridad y ciber seguridad es conocer aquellos elementos prácticos que permitan establecer, no sólo, qué motiva a los atacantes a cometer sus acciones, sino comprender un poco la viabilidad económica particular para concretarlos.
Un reciente estudio realizado por Ponemon, patrocinado por Palo Alto Networks, establece que los atacantes reciben en promedio 28.744 dólares al año trabajando 705 horas en sus ataques, lo que en el contexto de los salarios de la industria de seguridad es 29% menos que el salario promedio de los profesionales de seguridad informática, tanto en los sectores públicos como privados (Stancik, 2016).
Si lo anterior es correcto, las motivaciones de viabilidad financiera, no ofrecen perspectivas alentadoras, como quiera que en el estudio se advierte que tanto el tiempo como los recursos requeridos para materializar un ataque de manera exitosa cada vez más son limitados y establecen retos importantes que implican mayor dedicación y especialidad para superar las medidas de seguridad y control.
Los expertos de ESET, anotan sobre el análisis del informe de Ponemon que “cuanto más tiempo transcurre antes de que un ataque exitoso sea ejecutado, las probabilidades de que la organización sea capaz de detenerlo son mayores.” (Stancik, 2016). Esto supone entender dos variables claves en las organizaciones, en el contexto de la gestión de la seguridad de la información: el costo de la inacción y el costo de la acción (Elliot, Massacci y Williams, 2016).
El costo de la inacción, reporta la cantidad de riesgo acumulado que la organización tiene, es decir, todas aquellas acciones que debe asegurar y que ha postergado, considerando los resultados de su gestión de riesgos tradicional. En una lectura extendida, usando la Ventana de AREM (Cano, 2014), tendría un mayor valor dicha inacción, como quiera que igualmente debe actuar y avanzar respecto de los riesgos latentes, focales y emergentes.
Por otro lado, el costo de la acción, la actuación no sólo proactiva sobre los componentes de mayor riesgo registrado y la postura que anticipe actividades frente a tendencias estructurales del entorno, funda la inversión que la organización deben adelantar para mantenerse delante de la curva y cerrar la brecha frente la inevitabilidad de la falla.
Adicional a los elementos anteriores, las acciones del gobierno sobre el entorno inestable y dinámico de la seguridad, incorporan acciones que pueden disuadir a los posibles atacantes, habida cuenta que sus acciones, estarán siendo objeto de monitoreo y seguimiento por estructuras gubernamentales cuyo interés es desanimar a aquellos que quieran afectar la dinámica de las organizaciones frente a la protección de sus activos de información.
A manera de resumen podríamos advertir, cómo podría ser un posible comportamiento de la confianza de la sociedad frente la dinámica de las arremetidas informáticas y el compromiso de las organizaciones frente al reto que implica enfrentar la industria poco rentable (considerando el estudio de Ponemon) y muy motivadora de los ataques informáticos.
Referencias
Stancik, P. (2016) Cómo piensan los expertos en amenazas y qué los motiva. ESET. http://www.welivesecurity.com/la-es/2016/02/19/como-piensan-expertos-en-amenazas/
Elliott, K., Massacci, F. y Williams, J. (2016) Action, inaction, trust and cybersecurity’s common property problem. IEEE Security and Privacy. Enero/Febrero. 82-86
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
