Blog de Internet Security Auditors

Blog de Internet Security Auditors: Ventanas rotas (“Broken Windows”): El experimento social aplicado a la seguridad de la información

Escrito por Internet Security Auditors | Apr 9, 2015 4:00:00 AM

El mejor aliado de un usuario malicioso es un administrador pernicioso
Fuente: www.theguardian.com
Para empezar con la introducción del concepto detrás de la hipótesis de las “ventanas rotas” realizaremos dos ejercicios mentales para el lector. Imagine las siguientes situaciones y responda a las siguientes preguntas:

Situación A: Usted va caminando por una calle en un sector acomodado, en el que las vías se encuentran en buen estado y todo está limpio y ordenado. Sin embargo, hay un papel tirado en el suelo que muy probablemente se le ha caído a alguien. Usted:
  1. Recoge el papel y lo tira en la papelera más cercana
  2. Sigue su camino, evitando el papel
Situación B: Usted transita esta vez por un vecindario desorganizado, lleno de grafitis, coches desvalijados, edificios viejos con las ventanas rotas y con paredes sucias. Hay papeles y basura por doquier y a los demás peatones no les interesa tirar más basura.  En  su camino usted se encuentra con un papel tirado en el suelo. Usted:
  1. Recoge el papel y lo tira en la papelera más cercana
  2. Sigue su camino, evitando el papel
En un pequeño experimento realizado por el autor de este artículo con 10 personas a las que se les hicieron las anteriores preguntas y se les pidió responder lo más sinceramente posible, los resultados demostraron que en la situación A) el 90% de los encuestados recogerían el papel, mientras que en la situación B) solamente el 10% lo haría. Pero, ¿qué es lo que hace que una misma acción cívica varíe cuando se cambia el escenario? Algunas de las respuestas del por qué la acción de recoger el papel se realizaría en la situación A (vecindario limpio y organizado) fueron:
  • Todos procuran mantener limpio el lugar, así que no seré la excepción (obligaciones civiles)
  • Si no lo hago, los demás peatones seguramente me lo recriminarán (presión social)
  • Si no lo hago, seguramente me sentiré mal (sentimiento de culpabilidad basado en principios morales y éticos)
  • Me gusta estar en este lugar, por lo que intentó mantenerlo lo mejor posible (responsabilidad social y sentido de pertenencia)
Mientras que en la situación B fueron:
  • Porque parece que allí a nadie le importa (tolerancia y anonimato)
  • Porque el impacto de recoger un papel no afectará para nada el desorden ya generado (conformismo)
  • Porque se supone que quien debería recogerlos no ha hecho su trabajo (desinterés)
  • Porque no soy yo quien deba recoger el papel  (irresponsabilidad)
  • No me gusta este lugar, así que me da igual lo que suceda e intentaré no volver a pasar por allí (indiferencia)
Este mismo interrogante fue lo que hizo que en marzo de 1982 James Q. Wilson y George Kelling publicaran el artículo “ Broken Windows - The police and neighborhood safety” (“Ventanas rotas – La policía y la seguridad del vecindario”) . En este artículo – orientado principalmente hacia un análisis de la seguridad comunitaria y la policía – citaron el trabajo de Philip Zimbardo, un psicólogo de la Universidad de Stanford quien en 1969 realizó una serie de experimentos de comportamiento social que involucraban un automóvil abandonado en dos sitios diferentes: una calle en el Bronx (New York) y otra calle en Palo Alto (California). En el primer ejercicio, el automóvil estaba en malas condiciones y fue rápidamente vandalizado y  destruido, mientras que en el segundo ejercicio el mismo automóvil fue abandonado en buen estado y se conservó intacto por más de una semana.

Las conclusiones establecieron un concepto muy interesante dentro del comportamiento social: Las acciones incivilizadas tienden a convertirse en víricas, recurrentes y – poco a poco - toleradas. Se pueden encontrar muchos más ejemplos de este enunciado al observar la conducta de un grupo de personas en una manifestación inicialmente pacífica. Con un único comportamiento vandálico o violento que rompa el statu quo, muchos de los manifestantes optarán por seguir la misma línea (imaginar un saqueo, por ejemplo) y regresar al orden inicial costará muchísimo trabajo. Es justo ahí cuando entra la policía (fuerza de control) para aplicar acciones represivas.  El coste de las tareas reactivas siempre sobrepasará al de las tareas preventivas.

Fuente: http://www.throughthenevermovie.com/
Con base en estos resultados, se plantearon una serie de alternativas para conservar el orden:
  • Pedagogía y sensibilización
  • Controles basados en psicología positiva (premiación en vez de represión)
  • Fortalecimiento de los mecanismos de control
  • “Tolerancia cero” frente a comportamientos incívicos, así sean menores
  • Vigilancia continua (tanto de los civiles como del personal de la Fuerza Pública)
  • Mantenimiento constante del entorno
En términos prácticos, este acercamiento fue aplicado por varios Jefes de Policía en Estados Unidos y Alcaldes (como Rudolph Giuliani en Nueva York) con resultados importantes y se ha convertido en una práctica común en la definición de estrategias de seguridad urbana.

El concepto de “ventanas rotas” y su aplicación en seguridad de la información

En el sistema social descrito por Wilson y Kelling se observan tres elementos base de los cuales dos son activos (civiles y policía) y uno es pasivo (bien material). En función de la interacción entre los dos elementos activos se desprende la conservación del elemento pasivo. Este concepto puede emplearse claramente en diferentes áreas del conocimiento, incluyendo el de la seguridad de la información. Si extrapolamos dicho concepto a este área, podríamos catalogar los elementos base de la siguiente manera: activos (usuarios y encargados del área de seguridad) y pasivo (sistema informático e información). El objetivo es la protección de la confidencialidad, la integridad y la disponibilidad del elemento pasivo, conservando este equilibrio de tal manera que los potenciales riesgos sean tolerables y asumibles por la organización. Una “ventana rota” en este escenario se presentará cuando se empiece a deteriorar la seguridad aplicada y no se implementen acciones correctivas en el corto plazo.

Uno de los principales problemas de seguridad de cualquier plataforma informática radica en las demoras en el mantenimiento que se le debe aplicar de forma regular a los controles implementados y la designación de responsables. Partiendo de la premisa de “ la seguridad es un elemento que se degrada con el tiempo”, la Dirección de la organización debe definir una estrategia a mediano y largo plazo que incluya una serie de actividades para mantener y mejorar continuamente los niveles de seguridad del entorno, teniendo claro que cualquier error puede ser la puerta de entrada a un incidente de seguridad y que el tiempo siempre corre a favor del atacante. Algunos ejemplos de “ventanas rotas” en un sistema informático son los tiempos de demora en la implementación de actualizaciones y componentes de seguridad ( updates/ upgrades de sistemas operativos, aplicaciones, patrones de firmas y motores de escaneo de antivirus e IDS/IPS), problemas con la renovación periódica de contraseñas, existencia de cuentas de usuario asociadas a empleados que ya no están en la empresa, almacenamiento de datos sensibles aun cuando ya no se requieren, ausencia de auditorías y revisiones, etc. que claramente son causados por errores en la gestión continua de los controles.

 

¿Hay “ventanas rotas” en su sistema informático?

Lamentablemente, las amenazas y las vulnerabilidades asociadas a un sistema de información van cambiando día tras día y los ataques son más difíciles de identificar y contener por lo que es necesario actuar de forma inmediata. Si en su organización se presenta alguno de los siguientes elementos  (o todos),  es probable que tenga una “ventana rota” que pueda dar paso a la degradación en los niveles de seguridad:
  • Burocracia para la implementación de mejoras de seguridad en la empresa
  • “Aislamiento” del usuario como componente activo de la seguridad empresarial
  • “Zonas grises” en la responsabilidad frente a incidentes de seguridad
  • Conformismo con los controles de seguridad desplegados inicialmente
  • Ausencia de monitorización y revisiones de los controles
  • Falta de soporte administrativo  
Estos problemas inciden psicológicamente en el usuario del entorno, agravando la sensación de inseguridad y desinterés y dando pie al incremento en la frecuencia de incidentes, tal como se demostró en el experimento de Zimbardo.

El arreglo de las “ventanas rotas” informáticas y la prevención de la degradación de la seguridad

Con el fin de arreglar la “ventana rota” cuanto antes, a continuación se enumeran una serie de pautas que pueden ser establecidas dentro de un programa de mantenimiento y mejora de un entorno informático previamente establecido y que tenga desplegados controles que le inicialmente hayan permitido a la empresa gestionar su riesgo.
  • Definición de los umbrales bajo los cuales se alineará la estrategia, empleando mejores prácticas o estándares reconocidos por la industria.
  • Establecimiento de roles y responsabilidades en seguridad de la información, incluyendo a los propios usuarios del sistema, la Dirección y a proveedores/socios de negocio externos.
  • Formación y concienciación regular, focalizada a grupos de empleados con base en sus responsabilidades.
  • Monitorización periódica de los controles de seguridad desplegados y de sus alertas.
  • Tareas de notificación y respuesta ante excepciones (incidentes de seguridad), contando al usuario como un elemento activo en este proceso.
  • Creación de métricas de desempeño de los controles de seguridad (eficiencia/eficacia), que permitirá la definición de tareas preventivas y correctivas.
  • Lecciones aprendidas y mejora continua, incorporando las mejores prácticas de la industria, nuevos desarrollos y tendencias en seguridad.
Un sistema informático con estas características minimiza la inseguridad y el estado mental asociado, otorga confianza al usuario y lo integra dentro de la estrategia global como un elemento más de control, estimula el sentimiento de pertenencia y permite la actuación como un “todo” en vez de “islas” independientes. Estas acciones dotan al propio sistema de métodos de autodefensa, mejorando los tiempos de respuesta y manteniendo los niveles de seguridad en umbrales tolerables para la organización.

Para cualquier estrategia de seguridad de la información, recordar siempre la premisa de las “ventanas rotas”: Si una ventana de un edificio está rota y se deja sin reparar, el resto de las ventanas serán rotas pronto. Una ventana sin reparar es señal de que a nadie le preocupa, por lo que la influencia psicológica en los individuos tenderá al descuido y se agudizará la degeneración del entorno.  Entre más pronto se corrijan los daños menores más fácil será su gestión y menores sus costes asociados, lo cual redunda en una invitación a la prevención y a la proactividad.

Autor: David Eduardo Acosta - CISSP, CISA, CISM, CRISC, PCI QSA, CCNA Security, OPST, CHFI Trainer, BS25999 L.A. 
Departamento de Consultoría.
Ver post completo