Inicio / Protege tu empresa / Blog / #6ENISE: Debatiendo sobre gobierno y seguridad

#6ENISE: Debatiendo sobre gobierno y seguridad

Publicado el 31/10/2012, por Joseba Enjuto
Imagen_6ENISE

Este post está inspirado en el debate que tuvo lugar en la mesa redonda "Encuentro de blogueros de seguridad 2012" que se celebró como parte del programa del pasado 6ENISE organizado por INTECO, en el que algunos de los compañeros de este blog tuvieron el privilegio de participar como ponentes. Está escrito en forma de reflexión acerca de algunos de los temas que se trataron en aquél debate, y dentro de él figuran algunas de las preguntas que me hubiera gustado formular si hubiera habido más tiempo para debatirlas, ya que preferí no realizarlas en directo por el insuficiente tiempo restante, a mi juicio, para tratarlas a fondo en directo.

En el debate se abordaron, entre otros, los problemas existentes en torno a la ciberseguridad de las infraestructuras físicas. Uno de ellos era, concretamente, el análisis de los riesgos asociados a un posible ataque, sobre todo por la necesidad de conocer la probabilidad de ocurrencia de dichos ataques. Esta probabilidad, aunque seguramente sea mayor de lo que pensaría la  mayor parte de la sociedad, no parece ser, a día de hoy, excesivamente significativa. No obstante, el impacto que tendría un ataque exitoso podría llegar a ser enorme. Es decir, estamos ante un riesgo de baja probabilidad y alto impacto. ¿Qué posición debería adoptar frente a este tipo de situaciones el responsable de dicha infraestructura crítica? ¿Y cuál debería ser la postura de su responsable de seguridad?

La reflexión que hice al respecto en mi blog hace algo más de año y medio creo que sigue completamente vigente, pero me gustaría profundizar un poco más en el tema, sobre todo al enlazar esta cuestión con el factor coste. Es evidente que gestionar la seguridad basándose sólo en impactos encarece enormemente su aplicación, aunque sea una solución garantista. Y creo que todos coincidiremos en que aun en estos casos se debería cumplir la máxima de que el coste de la seguridad no debería superar al coste del activo. Sin embargo, cuando tratamos con infraestructuras críticas dicho coste se puede llegar a contabilizar en vidas humanas, mientras que el coste de la seguridad sólo sería económico. ¿Querría decir esto que cualquier coste económico para proteger las infraestructuras críticas debería ser asumible?

Se conteste lo que se conteste a la pregunta anterior, no podemos obviar el hecho de que la realidad es cruel, y las inversiones económicas en seguridad finitas. Guste o no, acaban existiendo límites económicos para la seguridad. Gobiernos y empresas no hacen sino balances de coste-beneficio en el que la seguridad no es más que otro componente del factor coste. Y no nos debería escandalizar, puesto que la mera existencia de centrales nucleares es una demostración perfecta de lo que acabo de decir, ya que el beneficio que proporcionan es económicamente finito y el coste se podría llegar a medir en vidas humanas, y por tanto debería ser muchos órdenes de magnitud superior. Y sin embargo, existen… ¿Bajo este punto de vista, deberían desaparecer?

Esto me lleva a enlazar con otra de las cuestiones que se plantearon en el debate, relativa a si los directivos (y gobernantes, añado yo) están capacitados para tomar este tipo de decisiones basadas en riesgos, sobre todo si tenemos en cuenta que la formación en estos aspectos es bastante escasa y no forma parte de ningún plan formativo de carácter generalista. No obstante, debemos asumir el hecho de que, capacitados o no, toman este tipo de decisiones a diario. ¿No deberíamos, sencillamente, tratar esa falta de conocimiento como un riesgo a gestionar? En ese caso… ¿Quién debería ser el responsable de gestionarlo?

El último de los temas del debate sobre el que me gustaría reflexionar es el correspondiente a la responsabilidad del fabricante de un activo. Y podemos pensar en el fabricante de un anti-malware, de un sistema operativo, de un coche o de una infraestructura crítica, porque en el fondo lo que cambia es el tamaño y complejidad del activo (y la cantidad de agentes que han intervenido en su creación), pero el problema es el mismo. Si el activo tiene un fallo… ¿Se debe hacer económicamente responsable el fabricante de su corrección? ¿Y de las consecuencias de dicho fallo? ¿Afecta a la asunción de responsabilidades que el fallo fuese o no fuese conocido? ¿Es posible obligar jurídicamente a que el fabricante asuma esa responsabilidad? ¿El fabricante se puede exculpar contractualmente de ella? Y por último… ¿Habría algún fabricante dispuesto a asumirla por iniciativa propia?

 

______________________________

El Blog de INTECO opta al Premio Bitácoras 2012 en la categoría Mejor Blog de Seguridad:

Votar en los Premios Bitacoras.com
Etiquetas: 
Amenazas
Continuidad de negocio
Empresa
Políticas
Vulnerabilidades
Artículos relacionados
Ciberdelincuentes robando datos de un ordenador
INCIBE | 28/03/2023
¿Acercarte tú mismo al ciberdelincuente? Esto es la ingeniería social inversa
Hombre con capucha y un móvil en la mano. Letras Malvertising
INCIBE | 21/03/2023
Cómo proteger tu empresa contra el malvertising
Mano azul saliendo de la pantalla
INCIBE | 14/03/2023
Historia real: la mala planificación en actualizaciones puede llevar a estas situaciones