Por Fausto Cepeda

¿Es una buena película Avatar? Después de escuchar hablar muy bien y muy mal de esta película, por fin decidí asistir a verla (y fue en 3D). La encontré divertida para pasar el rato y me fue inevitable ligar algunos pasajes de Avatar con la seguridad. Espero que el lector haya visto la película para entender mejor el contexto; si no se ha visto, dejo a su mejor consideración si desea seguir leyendo ya que sería un spoiler.

Trabajo Interno.

Jake Sully, el protagonista de la película, inicia tomando partido por su coronel Quaritch al infiltrarse en la tribu de los Navi y extraer información. Si la tribu de los Navi hubieran seguido el estándar de seguridad 27001, seguramente le hubieran aplicado el control A.8.1.2 (Screening: background verification checks…) y les hubiera ayudado a evaluar mejor –y con mayor profundidad- su ingreso a la tribu. Al menos inicialmente fue un error aceptarlo porque una vez que Jake se volvió un “insider” confiable, fue capaz de extraer información valiosa para el enemigo (Quaritch) que se usó en su contra. Un trabajo interno es muy peligroso porque cuenta con información privilegiada; del lado de TI, imaginemos a un administrador de sistemas o a un encargado de seguridad que se pasa del bando contrario. Según algunos datos, en el ataque que sufrió Google hace unas semanas, pudo haber colaborado personal de esa empresa: bien “usados”, los empleados garantizan una intrusión en cualquier organización.

La Seguridad Gira en Torno a las Personas.

Debemos de confiar en ciertas personas para cualquier sistema de seguridad. Las TI son un habilitador, pero son las personas las que hacen que todos los engranes de un sistema giren y consigan el objetivo de la seguridad. Son las personas las que atacan sistemas y las que lo defienden. Las tropas –personas- de Quaritch son las que se apoyan en la tecnología para atisbar un ataque; y es la tribu de los Navi la que trabaja en conjunto –apoyada en la naturaleza- para defender lo suyo. Hasta ahora, la mente de las personas es el elemento más importante de la seguridad, tanto en la ofensiva como en la defensiva. Es la mente de las personas que actúa directamente al instalar un control de seguridad y configurarlo, y es otra persona que idea cómo burlarlo. Se ha dicho hasta el cansancio que las personas son el eslabón más débil en la cadena de seguridad; pero por otro lado también son las personas en su rol ofensivo o defensivo que juegan un papel central y desde el punto de vista defensivo, son las personas en este rol las que constituyen el eslabón más fuerte. El mensaje que deseo expresar es que la seguridad se trata de personas, no de TI ni de procesos. Es la inteligencia que pone en marcha esos controles de TI y esos procesos de un sistema de gestión; cada sistema necesita de personas confiables para que lo manejen y que evalúen riesgos. La seguridad eficiente usa las tecnologías, pero se centra en las personas. Jake Sully era parte de ese sistema de seguridad para mantener alejados a los Navi y –ofensivamente- para penetrar en su mundo y extraer información. Ese mismo elemento, junto con Chacón y otras personas confiables, se vuelven contra el sistema para atacarlo. Finalmente, la seguridad de la base de los humanos, de la selva de los Navi y la vida de todos los involucrados gira en torno a –y depende de – las personas, no de tecnología ni de procesos.

Subestimación.

El coronel Quaritch sufrió, desde mi punto de vista, de una falsa seguridad, de una percepción de seguridad total para su base. Sabía que morirían algunos de sus hombres, pero su base? Inexpugnable. En su análisis de riesgos interno, no existían riesgos que afectaran los procesos fundamentales del negocio. Esos procesos eran aquellos para mantener la base a salvo de la tribu de los Navi. Y como tal, pensó en riesgo cero o tan pequeño que era aceptable y hasta despreciable. La seguridad no debe recaer en tecnologías únicamente (armas, helicópteros, sistemas de comunicación y navegación), sino en riesgos, en su evaluación correcta y en las mejores maneras de manejarlo. Jake Sully encontró la debilidad de los atacantes y por otro lado ubicó sus propias fortalezas. Observó que los sistemas humanos no trabajaban bien en ciertas zonas de la selva, vio fortalezas en la cantidad de aborígenes que podía emplazar y también en convocar a la naturaleza local para defender sus posiciones. Acertó en unir fuerzas y defender lo importante (árbol de las almas) para mantener la moral. Si subestimamos al adversario, estamos cayendo en un error. Hablando de seguridad de la información, debemos de actuar pretendiendo que seremos embestidos: la pregunta es cuándo seremos atacados, no si lo seremos. En seguridad, una dosis sana de pesimismo y paranoia es casi una necesidad.

Conclusiones.

No quiero aburrirlos, así es que ya mejor los dejo con una frase de Genghis Khan: “La fortaleza de una muralla depende del coraje y valor de aquéllos que la defienden”. Evaluar y manejar riesgos, contar con personas confiables y no hacer falsas subestimaciones dan a la seguridad de la información mucha de su fortaleza. Twitter: @FaustoCepeda.

Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM, CCM. Es Maestro de Seguridad de la Información por la Universidad de Londres en el Reino Unido. Ha sido Consultor de Seguridad y actualmente es Analista de Sistemas en la Oficina de Seguridad Informática del Banco de México. También cuenta con la certificación de seguridad CISSP (Certified Information Systems Security Professional.