domingo, 10 de mayo de 2015

Ni Blanco ni Negro

Mi profesor de economía de la preparatoria mencionó una frase que he recordado hasta el día de hoy. "En las personas, no hay blancos o negros, solo diferentes tonalidades de gris". Él se refería a que en su opinión, las personas no son 100% honestas u honradas, y tampoco 100% malignas y diabólicas, sino que hay tonalidades de grises y cada persona tiende a estar de un gris más blanco, o un gris oscuro. 


Podemos o no estar de acuerdo con esta aseveración, pero esta analogía me vino a le mente un día que en una reunión estábamos discutiendo sobre el grado de seguridad que debería de tener un sistema conectado a una red crítica. 

En las computadoras y redes también hay diferentes tonalidades de grises. Solamente resta decidir que tan gris-blanco o gris-negro se desea que sea. Por ejemplo, si está conectada a internet, oscurecerá más. 

Si tiene habilitado los puertos USB por donde se le puede conectar cualquier dispositivo, será un poco más oscuro ese gris. Si no se le aplican parches o es muy poco frecuente, más oscuridad. Y así podemos ir enlistando una serie de características que si se le añaden, su seguridad será más negra cada vez. 

Claro que una seguridad ennegrecida puede significar mayor funcionalidad, es decir, que el sistema sea más fácil de usar y presenta menos "incomodidades" que tiene que "sufrir" el usuario. Por ejemplo, permitimos que un sistema pueda recibir USB y es un grado más inseguro (este medio es uno de los preferidos por el código malicioso para propagarse) pero lo hace más funcional porque nos resulta sencillo trasladar información usando un dispositivo USB. 

Que una computadora tenga antivirus, se parche y actualice con frecuencia, impida recibir dispositivos de almacenamiento tipo USB y que carezca de internet hará que ese sistema sea gris claro, cada vez más blanco.  

Si bien un sistema continuará teniendo cierto grado de tonalidad gris, aquí la pregunta sería que tan gris-blanco deseamos que sea. Y cada vez que incrementa un tono más blanco, hay más seguridad, pero será menos fácil de usar "normalmente". El sistema se puede hacer de un tono gris muy blanco, pero dejará de ser funcional. 

A esto le llamamos el "apetito de riesgo". Es decir, cuánto riesgo deseamos aceptar y que el sistema todavía cumpla con el objetivo que deseamos perseguir en la compañía. Y ese será el balance adecuado entre seguridad y funcionalidad. 
Así es que hay dos enfoques de donde se puede parir. 

Te puedo entregar un equipo desprotegido y le voy añadiendo seguridad y en cada paso me dices si sigue siendo funcional para ti. Hasta llegar al balance adecuado. O al revés, partimos de un equipo bastante seguro y me dices si te sirve, y a partir de ahí le iremos quitando controles de seguridad. 

Claro está, para hacer esto, es importante entender el riesgo informático para decidir de una manera informada hasta dónde llega el apetito al riesgo, es decir, cuánto riesgo deseo aceptar.  

Un día me encontré a un vecino. Me dijo que había subido la barda de su jardín, había puesto nuevas chapas de seguridad e instalado un par de cámaras alrededor de su casa. Me preguntó que si eso era suficiente. Odio las respuestas del tipo "depende", pero depende de varios factores (dónde vive, a qué se dedica, quiénes son sus posibles adversarios, etc.). 

Así es que es una pregunta que requiere un análisis para ser respondida, porque hay que definir cuánto es suficiente y dónde parar. El apetito al riesgo, pues. Lo mismo sucede con los equipos de cómputo, se les puede poner más y más seguridad y llegará un punto en que es o demasiado costoso o poco funcional para cumplir con lo que se desea hacer con el mismo. 

La seguridad tiene un costo (y no me refiero solamente al económico), y es importante decidir hasta dónde queremos empujar esa seguridad con tal de estar protegidos.