Con la reciente avalancha de ataques de ransomware, se ha puesto mucho énfasis en hacer que nuestros sistemas sean más resistentes a estos ataques. A pesar de este enfoque y la extensa investigación sobre el tema de ResilienciaHe descubierto que muchos profesionales de la seguridad a menudo no comprenden lo que realmente significa la resiliencia. La resiliencia a menudo se caracteriza erróneamente como la capacidad de un sistema para resistir interrupciones y rebote a su estado anterior. Este es un error peligroso: la capacidad de devolver un sistema a un estado anterior (por ejemplo, restaurar desde una copia de seguridad) no significa que ahora sea lo suficientemente resistente. La mentalidad es inadecuado e ignora el objetivo principal de la ingeniería de resiliencia, que es adaptarse y mejorar.

Para evitar perderme este aspecto crucial de la resiliencia, encuentro útil referirme a otro término introducido por el autor Nassim Nicholas Taleb en su libro que invita a la reflexión: Antifrágil. Taleb sostiene que la antifragilidad se diferencia de la resiliencia; la resiliencia “resiste los choques y permanece igual; el antifrágil mejora «. Aunque hay legitimas criticas del libro de Taleb, hay algunas conclusiones e implicaciones interesantes para nuestra práctica de la seguridad cuando podemos establecer una distinción más clara entre el aspecto de rebote de la resiliencia y el aspecto de adaptabilidad de la resiliencia (es decir, antifrágil).

Antifragilidad y seguridad de la información
Taleb define la antifragilidad como un atributo de los sistemas diseñados para fortalecerse cuando se exponen al estrés, como los músculos. Por el contrario, los sistemas frágiles, como el vidrio, se rompen cuando se exponen al estrés. En otras palabras, los sistemas frágiles deben manejarse con cuidado., mientras que los sistemas antifrágiles prosperan cuando se manejan sin cuidado. Pero, ¿cómo se aplicaría este concepto a la información y la ciberseguridad?

Taleb propone que “la información es antifrágil; se alimenta más de los intentos de dañarlo que de los esfuerzos por promoverlo «. los acto de suprimir información tiende a llamar la atención sobre él, lo que hace que se propague más, posiblemente más que si la información se publicitara intencional y activamente. Un ejemplo de antifragilidad de la información sería el código DeCSS, uno de los primeros programas informáticos gratuitos capaces de descifrar contenido en DVD producidos comercialmente. Los intentos de la Motion Picture Association of America de suprimir este código dieron como resultado su amplia proliferación.

Este resultado claramente no es mejor para las partes interesadas que desean mantener la información en secreto. Para aquellos que luchan por la confidencialidad, su objetivo es hacer que la información sea más frágil para que pueda romperse fácilmente o inutilizarse a su discreción. Sin embargo, esto puede ir en contra de los intereses de otras partes interesadas que deseen que los datos confidenciales sean a la vez frágiles, resistentes y antifrágiles. Frágil para que la información pueda volverse inútil a su discreción por motivos de seguridad. Resiliente para que sobreviva pérdidas por destrucción o interrupción operativa de TI. Antifragile para que pueda ser copiado, compartido, combinado, enriquecido y transformado en formas más útiles para colaboraciones impulsadas por negocios y democratización de datos. Pero, ¿es posible que exista la misma información en los tres estados a la vez?

La información comienza siendo frágil y luego hacemos copias para que la información pueda ser resistente. Para volver de ser resiliente a frágil, tendríamos que destruir todas las copias existentes. Sin embargo, la acción de intentar destruir todas las copias puede llamar la atención no deseada y hacer que la información se convierta en antifrágil. Para complicar aún más las cosas, la organización puede desear que la información sea antifrágil dentro de la organización pero frágil fuera de la organización. ¿Cómo puede una organización lograr el objetivo de tres partes de mantener la información en secreto (frágil) y al mismo tiempo garantizar su resistencia y utilidad (antifrágil)?

Aplicar la estrategia de barra
Para abordar la tensión entre estos tres estados, Taleb sugiere una estrategia en forma de barra. los estrategia con barra aborda el riesgo con un enfoque de dos frentes que combina los extremos, hiperconservador (frágil) e hiper-agresivo (antifrágil), y minimiza cualquier cosa en el medio (resiliente). Un ejemplo de esta estrategia se puede ver en los modelos de cifrado asimétrico, con la fragilidad de las claves privadas y la antifragilidad de las claves públicas. Si bien protegemos a los primeros con extrema precaución, podemos tratar a los segundos con un abandono imprudente.

Si la información puede existir en estos tres estados, entonces vale la pena señalar que muchos programas de ciberseguridad operan en contra del enfoque de barra, priorizando la resiliencia como una parte clave de su estrategia de seguridad de la información, lo que pone el peso en el medio.

Si creemos que la estrategia de barra de Taleb es apropiada para la seguridad de la información, entonces siempre que nos encontremos con algo que una parte interesada quiera hacer resiliente, debemos tratar de evitar agregar más a la mitad de la barra preguntándonos qué podemos hacer para hacer que nuestro activos más frágiles o más antifrágiles (con una preferencia más fuerte hacia los antifrágiles).

Cuando separamos el concepto de fragilidad, resiliencia y antifragilidad como lo ha hecho Taleb, nos permite ver más claramente los objetivos por los que debemos luchar. Esto nos permite enfocarnos no simplemente en regresar a un buen estado conocido después de un incidente, sino en dedicar concienzudamente el tiempo para aprender de tales eventos para evolucionar y mejorar.

Author

Write A Comment