Luego de unos días desconectado de este espacio, quiero compartir con ustedes una reflexión que viene dando vueltas en mi cabeza desde hace varias semanas, relacionada a un principio que muchos hemos conocido en la universidad, como el Principio de Pareto, y la Seguridad de la Información.
Pero para empezar, mejor compartir con ustedes qué es el Principio de Pareto, también conocido como la regla 80-20. La misma fue establecida por el economista Wilfredo Pareto, que analizó la economía italiana de principios de siglo XX, y observó que el 20% de la población poseía el 80% de la riqueza. A lo largo de su estudio, el economista observó que esta relación porcentual se repetía en diversos grupos y distribuciones en la vida real. Es decir que según esta regla, naturalmente será posible encontrar en el análisis de variables, la relación entre "pocos de mucho" y "muchos de poco" o, en otras palabras, el principio permite identificar en un grupo los "pocos vitales" de los "muchos triviales".
La relación 80-20 es aproximada, y puede ser aplicada a muchos escenarios, citando algunos ejemplos:
- En muchas empresas es posible identificar como unos pocos clientes (20%) representan la mayoría de la facturación (80%), o lo mismo para la fuerza de venta: la mayoría de las ventas son realizadas por unos pocos vendedores.
- En el control de calidad, es posible corregir el 80% de los errores modificando el 20% de los procesos. En otro caso similar, podría identificarse que la mayoría de las quejas de los clientes refieren a unos pocos productos.
- En una radio, el 20% de las canciones (más populares) suenan un 80% del tiempo; o en un canal de televisión unos pocos programas generan la mayoría del rating.
Ahora, comprendido el Principio de Pareto, ¿cómo aplicarlo en la Seguridad de la Información? Imaginen una organización que desea realizar y aplicar un Sistema de Gestión de la Seguridad de la Información, ¿por dónde empezar? En un principio, es importante identificar todas las amenazas existentes para la información de la empresa, y todos los posibles controles a implementar para remediar o mitigar los riesgos.
Según el Principio de Pareto, el 80% de los riesgos podrán ser controlados con el 20% de los controles de seguridad. Es decir, implementando un número no tan elevado de medidas de seguridad, podrá minimizarse de forma considerable el riesgo a las amenazas informáticas en la empresa.
Supongamos que una empresa identifica 50 posibles controles de seguridad, implementando en el corto plazo solo 10 de ellos, podrá contar con un nivel de seguridad importante para continuar con la operatoria de la empresa, mientras dedica el tiempo a implementar el resto de los controles para mejorar la seguridad de la información en la organización.
Por ejemplo, en una empresa mediana, podemos enumerar 10 controles de seguridad fundamentales, que seguramente representarán el control del 80% de los riesgos existentes:
- Crear y definir una política de seguridad.
- Utilizar un software antivirus.
- Implementar un firewall para controlar las conexiones entrantes y salientes de la red.
- Utilizar un filtrado antispam para evitar el acceso de correos no deseados.
- Limitar los permisos administrativos de los usuarios.
- Forzar el uso de contraseñas fuertes en los sistemas.
- Mantener actualizados los sistemas operativos y las aplicaciones.
- Implementar controles físicos en los servidores de la empresa.
- Utilizar contraseñas y cifrado WPA2 en las redes inalámbricas.
- Educar a los usuarios.
Luego de implementados estos controles, quedarán otras tantas medidas de seguridad para trabajar, como pueden ser controles biométricos, auditorías de códigos; u otras medidas más complejas, que irán elevando lentamente los niveles de seguridad.
Pero, como vimos en este post, Pareto nos enseñó que lo más recomendable para la seguridad de una empresa, es implementar rápidamente los controles más importantes, y luego continuar como proceso continuo implementando nuevos controles o mejorando los existentes. ¿Qué estás esperando?
Sebastián Bortnik
Coordinador de Awareness & Research