[22/03/2022] Odio hacer esto, pero considere el siguiente ejercicio de pensamiento: transpórtese a la primavera del 2020 cuando, literalmente, todo el mundo estaba esperando una vacuna contra la COVID. Sabíamos que había algunos candidatos (de hecho, se formuló una vacuna de ARNm a fines de enero) y solo estábamos esperando la prueba: los estudios de eficacia. La mayor parte del mundo estaba eufórico al descubrir, a principios de diciembre del 2020, que las tasas de eficacia eran del 95%. Por supuesto, algunas personas necesitaban saber que una vacuna típica contra la gripe proporciona alrededor del 60% de eficacia.
Ahora considere cómo se habría sentido si, en lugar de realizar ensayos controlados aleatorios que probaron los resultados de la vacuna, Pfizer y Moderna hubieran afirmado que la vacuna funcionaría porque los científicos que la crearon tenían credenciales sólidas, el ambiente de laboratorio se manejó adecuadamente, los procedimientos fueron seguidos impecablemente, y todo el papeleo estaba en orden. No estoy seguro de usted, pero yo habría estado devastado y probablemente furioso.
Seguimos un patrón como éste de forma rutinaria en ciberseguridad. Le ahorraré el tedio de la auditoría de cumplimiento.
Medición de la eficacia de la ciberseguridad
Ahora imagine un mundo en ciberseguridad donde realmente midamos la efectividad de nuestros programas. Donde utilizamos la potencia y adaptabilidad de escala de las computadoras para realizar los mismos tipos de pruebas consideradas como un requisito mínimo en otros campos. Donde gestionamos nuestros ambientes de control y evaluamos los resultados para determinar la solidez de nuestros programas.
Una reacción común a una propuesta como esta es ser sarcástico o incluso desdeñoso, recordándole al instigador (así es como nos llaman a los que proponemos tales cosas) que los ambientes informáticos son increíblemente complejos y un enfoque como este sería imposible. Como si secuenciar los tres mil millones de pares de bases del genoma humano y usarlo como modelo de referencia para siete mil millones de humanos llenos de células que se dividen, neuronas que se activan y sustancias químicas que interactúan fuera simple.
La verdad es que los ambientes informáticos son en realidad más fáciles de medir. El jurado aún está deliberando sobre los beneficios de la inteligencia artificial en la ciberseguridad (al menos en un sentido amplio). Sin embargo, una victoria rápida es que, para aprovechar la inteligencia artificial, debe poder ingestar los datos que está analizando. Una vez que los datos están disponibles, es trivial para las computadoras contar las instancias y los elementos de la actividad pertinente que podrían usarse fácilmente para este tipo de objetivo.
Casos de uso de la eficacia de la ciberseguridad
Abundan las oportunidades para los experimentos de eficacia. Por ejemplo, una organización podría aplicar las mismas técnicas que Microsoft utilizó en su informe Security Intelligence Report volume 20: "El MSRT informó que las computadoras que nunca ejecutaron software de seguridad en tiempo real durante el segundo semestre del 2015 tenían entre 2,7 y 5,6 veces más probabilidades de estar infectadas con malware que las computadoras que siempre estaban protegidas”. Una mirada más cercana a estos datos revela una puntuación de eficacia de alrededor del 64%.
O podría realizar un experimento como el que hicieron Google y la Universidad de Nueva York que concluyó: "demostramos que los desafíos basados en el conocimiento evitan tan solo el 10% de los intentos de secuestros basados en phishing y 73% de intentos de secuestros automatizados. Los desafíos basados en dispositivos brindan la mejor protección, bloqueando más del 94% de los intentos de secuestros basados en phishing y el 100% de los intentos de secuestros automatizados”).
Si bien ninguno de estos estudios demuestra el mismo nivel de rigor que los estudios de eficacia realizados para las vacunas COVID, se pueden replicar y aplicar fácilmente en ambientes empresariales específicos.
La práctica actual de utilizar auditorías de cumplimiento de PCI para demostrar la calidad del programa no hizo nada para evitar que Target sufriera un robo de sus datos (y fue esencialmente revocado retroactivamente después del incidente). Reemplazar las auditorías periódicas con datos empíricos de la medición continua revolucionaría nuestra comprensión de la diligencia y la negligencia, brindando información clave sobre las mejores formas de proteger nuestros ambientes. La advertencia aquí es que ningún enfoque es infalible. Diablos, incluso con la repetición instantánea, es sorprendente la frecuencia con la que los árbitros toman decisiones "incorrectas”. Pero un enfoque empírico sería capaz de medir en tiempo real la naturaleza y los tipos de actividad que ocurren, la cantidad y los tipos de controles que se aplican, generando resultados finales que proporcionarían un nivel objetivo de análisis empírico muy por encima de los métodos existentes.
Una vez me expresaron que la eficacia de la ciberseguridad "no era un tema relevante” y no tuve respuesta, porque era cierto. Entonces, hagamos que lo sea.
Basado en el artículo de Pete Lindstrom (CSO) y editado por CIO Perú
Crédito foto: Jamie / CC BY 2.0
Pete Lindstrom es un ciberestratega, innovador y economista en Spire Security, donde se especializa en mejorar la eficiencia y la eficacia de los programas de ciberseguridad. Es conocido como una autoridad en temas estratégicos de ciberseguridad como las métricas, la estimación del riesgo y la medición del beneficio de los programas de seguridad. Pete tiene más de 25 años de experiencia en ciberseguridad como auditor de TI (PwC), profesional de la seguridad de TI (Wyeth) y analista de la industria (IDC). Pete sirvió como oficial en el Cuerpo de Marines de Estados Unidos y se licenció en Administración de Empresas (Finanzas) por la Universidad de Notre Dame.