- Muchos profesionales de TI afirman que la complejidad es enemiga de la seguridad
- Ellos son los que más sienten el impacto de una actualización de los sistemas
- ¿Por qué una planificación eficiente es más importante que lo demás?
Muchos profesionales de la Tecnología de la Información afirman que la complejidad es enemiga de la seguridad. Pero ¿realmente es así? Se trata de una frase que suele usarse, a veces como excusa, pero que parece absolutamente lógica en el marco de Internet y sus avances constantes. ¿Qué saber entonces?
El caso es que la idea de que la complejidad es enemiga de la seguridad está entre los profesionales del sector desde hace décadas. Su creencia generalizada es que es un enfoque complicado de la ciberseguridad probablemente se traducirá en mayores vulnerabilidades. Y mientras vemos a numerosas organizaciones luchando contra nuevas amenazas, éste podría ser el momento oportuno para preguntarnos al respecto.
¿Qué significa “la complejidad es enemiga de la seguridad”?
Este mantra quiere decir que, cuando menos sencillo en su abordaje sea un sistema, más difícil será protegerlo. Cuantos más componentes tenga, más dedicación hará falta por parte de los equipos de TI para que esté a salvo.
Y en estos días, en los que casi todas las organizaciones siguen ampliando su base tecnológica utilizada, probablemente ésta sea una de las cosas que más preocupan a la gente de Tecnologías de la Información.
No es que los profesionales renieguen de la adaptación, sino que incluso la consideran indispensable hoy en día. Simplemente, plantean que no es fácil actualizar la protección cada vez que aparece una nueva amenaza como consecuencia directa de una actualización de los sistemas. A eso hay que sumarle la convivencia entre nuevos sistemas y viejos sistemas. Al crearse brechas, todo esto aumenta el riesgo de ataques cibernéticos exitosos.
¿Cómo afecta la complejidad de los sistemas a los equipos de TI?
La complejidad de la ciberseguridad afecta tanto a los usuarios finales como a los encargados de la seguridad. Generalmente, los equipos de TI son los que más sienten el impacto de una actualización de los sistemas. Poniéndolo en ejemplos: deben cubrir nuevas vulnerabilidades, solucionar nuevos problemas, etc.
Como resultados, los profesionales de TI experimentan pueden agotarse y acabar descuidando la seguridad. Evidentemente no lo hacen con intención, sino que el desgaste es causado por los piratas informáticos adrede. Sumando a eso que los integrantes de las organizaciones a veces son muy poco cuidadosos, y hasta tienden a rechazar los últimos inventos en ciberseguridad, la tarea de los profesionales de TI se vuelve titánica.
Es decir, los atacantes ponen la complejidad a su favor. Era esperable, pero eso no lo hace menos peligroso.
¿Es cierto que la complejidad es enemiga de la seguridad?
En este punto, esa afirmación es cierta porque las configuraciones demasiado complicadas requieren más esfuerzo para mantenerlas. Y necesitan del compromiso de todas las partes implicadas, que debe sostenerse en el tiempo. Con cada nueva actualización de los sistemas aumentan las probabilidades de un error humano.
Ni que hablar de cómo se elevan los costos operativos cada vez que debe adecuarse la TI a la nueva realidad.
Ahora bien, la complejidad no se convierte inmediatamente en un inconveniente de seguridad. Lo hace poco a poco. La seguridad multicapa es una buena noticia en este contexto convulso, y ofrece una protección integral fiable.
Nuestra conclusión es que la complejidad no es inherentemente perjudicial para los equipos dedicados a TI. Verdaderamente, la mayoría de los ataques exitosos que sufren es provocado por una planificación deficiente. Mientras la planificación sea eficiente, la seguridad en capas debería permitir responder a los ataques externos.
Más complejo… no más seguro
El gasto mundial en ciberseguridad alcanzó los 219.000 millones de dólares en 2023, un aumento del 12,1% en comparación con 2022. Sin embargo, ninguno de estos gastos ha frenado significativamente las ciberamenazas.
El hecho de que estos incidentes de ciberseguridad aumentaron un 40% en el mismo período en el que el gasto aumentó 30.300 millones de dólares demuestra que complejizar los sistemas no siempre los hace más seguros.
Y por eso insistimos en que las organizaciones no deberían aplicar más capas de seguridad sin un análisis consciente previo. Que los sistemas de seguridad sean más complejos no los hace más seguros.
Las organizaciones pueden y deberían mejorar su la seguridad con una planificación a la altura de las circunstancias. En vez de adoptar continuamente un enfoque de múltiples capas porque es más fácil que reconfigurar o eliminar gradualmente los sistemas heredados, deben establecer prioridades en virtud de cada firma u organización.
Conclusiones
Las organizaciones se han vuelto demasiado cómodas, lo que hace que sus sistemas sean demasiado complicados para compensar sus vulnerabilidades. Deberían considerar seriamente en cambiar las prioridades de seguridad. Enfocarse en los sistemas críticos y eliminar el hardware innecesario debería ser un primer paso.
¿Piensas, como algunos profesionales, que la complejidad es enemiga de la seguridad? ¿Qué crees al respecto?