Seguridad en un mundo complejo



La innovación y la complejidad pueden coexistir la clave es utilizar la innovación para hacer comprensible la complejidad en constante expansión y predecir sus efectos.

En 1999, el tecnólogo de seguridad Bruce Schneier publicó «Una súplica por la simplicidad. «En el weblog, escribió:» No se puede asegurar lo que no se comprende «y» el peor enemigo de la seguridad es la complejidad «. Schneier explicó que analizar la seguridad de un sistema se vuelve más difícil a medida que aumenta su complejidad. El objetivo era convencer al sector de la tecnología de «reducir la velocidad, simplificar y tratar de agregar seguridad».

Más de 20 años después, la súplica de Schneier parece ingenua e incluso pintoresca. La innovación se ha convertido en una fuerza de la naturaleza no se detendrá ni disminuirá la velocidad. Más innovación significa más funciones, lo que inherentemente significa más complejidad. Todos queremos sistemas seguros, pero nadie está dispuesto a frenar la marcha del progreso para que eso suceda.

En «Trabajamos la costura negra«, Canta Sting,» Construyen máquinas que no pueden controlar y entierran los desechos en un gran agujero «. Aunque cantaba sobre la energía nuclear, el lamento es cierto para muchas tecnologías modernas, especialmente para sistemas y redes informáticos. La pink informática moderna es casi increíblemente compleja. Miles de nodos se conectan a través de millones de rutas de purple potenciales. La mayoría de las redes no están diseñadas tanto como evolucionan. Las corporaciones crecen, contratan, se conectan con proveedores y se fusionan con la competencia. La pink se expande, se contrae y se transforma como una entidad viviente. En ningún momento, nadie está seguro de qué dispositivos hay en ella, exactamente cómo están conectados o cuáles son todas las implicaciones de seguridad. Es humanamente imposible realizar un seguimiento de miles de los controles de acceso o comprender completamente los efectos agregados.

Al principio, muchos creían que la adopción de tecnologías en la nube facilitaría la seguridad. A diferencia de los sistemas operativos de los años 80 y 90, las plataformas de nube pública se diseñaron pensando en la seguridad. Si el cliente los configura correctamente, Amazon, Microsoft y Google prometen, su infraestructura es segura. Hasta ahora, esa promesa parece cumplirse. Pero la innovación genera complejidad, y esa ley inmutable de la naturaleza resulta ser cierta también en la nube pública.

Por lo tanto, las plataformas de nube pública son seguras si se configuran correctamente, pero es mucho más fácil decirlo que hacerlo. Las reglas de segmentación de la red en la nube son al menos tan complejas como en las redes tradicionales, y la mayoría de las empresas utilizan entornos en la nube de más de un proveedor, cada uno con su propia terminología y reglas. Puede establecer límites de segmentación alrededor de casi cualquier cosa, creando una red de restricciones de acceso que, en conjunto, es casi incomprensible. Tenga en cuenta que AWS solo incluye 175 servicios nativos y ese número crece mensualmente. Para estar seguro, la mayoría de los proveedores de la nube requieren que siga las mejores prácticas específicas a medida que las implementa. Una vez más, está más allá de la capacidad humana mantenerse al día y prever todas las implicaciones.

Combatir el fuego con fuego
Entonces, todos estos años después, ¿cómo consolamos a los Bruce Schneiers del mundo? ¿Cómo tenemos innovación? y ¿seguridad? Existe una posibilidad. Dado que la innovación no se ralentizará, la clave es utilizar la innovación para hacer comprensible la complejidad en constante expansión y predecir sus efectos. En otras palabras, combata fuego con fuego.

Las computadoras son muy buenas para modelar sistemas complejos y dinámicos. Trazan el curso de los huracanes, el cambio climático, las corrientes oceánicas, las enfermedades infecciosas y las economías. Cada vez más, las tecnologías de modelado están reduciendo la complejidad de los sistemas informáticos e identificando agujeros de seguridad. Un ser humano no puede leer miles de reglas de firewall en cientos de firewalls y predecir el efecto agregado, pero una computadora puede hacerlo. Nadie puede descifrar miles de reglas de segmentación y permisos de acceso en un gran entorno de nube, pero un modelo informático puede hacerlo.

Por qué los límites del modelado no se aplican a la seguridad
Los críticos podrían argumentar que las tecnologías de modelado no tienen un historial perfecto. Los modelos meteorológicos han recorrido un largo camino, pero aún son precisos solo de tres a cuatro días en el futuro. Los modelos para la transmisión COVID-19 han estado lejos de ser ideales. ¿Por qué el modelado de seguridad sería mejor?

La precisión de un modelo está limitada por dos cosas: su comprensión del funcionamiento interno del sistema y el número y la calidad de sus entradas.

La primera limitación hace que sea difícil pronosticar la progresión de COVID-19 porque la enfermedad es nueva y sus comportamientos internos se desconocen en gran medida. Pero esto es un problema menor en ciberseguridad. Los comportamientos de los controles de seguridad son fácilmente comprensibles de forma specific. Solo cuando hay miles de ellos en cientos de sistemas se vuelven incomprensibles.

El segundo problema es un obstáculo mayor con la ciberseguridad. Para modelar un sistema, debe poder consultar todos los productos de seguridad para conocer sus reglas y configuraciones. Un modelo debe poder recopilar entradas de una gran variedad de dispositivos y aplicaciones de seguridad. Eso significa crear cientos de conectores individuales. Aunque esto no es técnicamente difícil, es un gran desafío logístico y económico. Pero con conjuntos estándar de interfaces, este problema puede superarse.

Al remaining, no necesitamos que la innovación disminuya la velocidad. Solo necesitamos acordar algunas reglas básicas sobre cómo procederá la innovación. Esa es la forma en que los humanos siempre progresan. Rompemos las barreras de la complejidad al acordar estándares básicos y reglas básicas y luego dejar que la innovación avance. En efecto, no restringimos ni retrasamos la innovación, simplemente la enfocamos y usamos la innovación técnica para comprenderla.

Bryan aporta 30 años de experiencia en program comercial de nivel empresarial y 18 años en ciberseguridad. Ha liderado organizaciones a través de un crecimiento masivo, desde la etapa inicial hasta la OPI y más allá. Antes de unirse a RedSeal, Bryan dirigió Symantec Enterprise Stability Group a través de un … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique