Criticidad y riesgo

By | 2020-07-12

Nota:

Este es un simple post de un blog que trata de acercar dos temas bastante complejos en pocas oraciones, si les gusta el tema pueden investigar mucho más en sus buscadores preferidos, libros o carreras universitarias.

Si hay dos conceptos que veo que se confunden seguidos, sin contar el típico eficiencia vs eficacia, es el tema de la criticidad y el riesgo; muchos de nuestros trabajos sirven para catalogar la criticidad, salvo que realmente trabajes para el área de riesgos o seas gerente.

Entiendo que la mayoría que lean esto saben la diferencia entre estas dos “palabritas”, con grandes significados, pero por las dudas vamos a dar algunos ejemplos:

Primer ejemplo:

Auto a 400 km/h, súper critico, no ? Pero es riesgoso… y si, si no ponemos mas datos en la ecuación claramente lo es, pero si yo ahora les agrego que es un conductor profesional, en un autódromo, con el auto más moderno conocido… ahora que piensan ? Obviamente sigue siendo un hecho critico por llevar esa velocidad en un auto, pero el riesgo obviamente bajo.

Vamos a otro ejemplo (este es más cercano a alguna de las temáticas del blog):

Sale una vulnerabilidad que nos deja superar la autenticación de un servicio de administración. Sin más datos esto es súper critico y ni hablemos de lo riesgoso que puede ser! Pero si yo ahora les comento que el servidor esta solo en una red aislada, que tiene un Firewall que filtra todos los accesos a dicho servicio de administración a una sola IP y que obviamente el servicio no es publico; ahora que piensan ? Como en el caso anterior no deja de ser critico, pero si menos riesgoso ya que esta “controlado” y no cualquiera va a poder tomar control del servidor.

Ahora bien, para que nos sirve entender y jugar con estas dos palabras ? Muy simple, para poder tomar buenas decisiones. Es sabido que para tomar buenas decisiones tenemos que tener la mayor cantidad de información posible, porque sino dicha decisiones van a ser malas.

Viernes, 17hs (suponiendo que terminamos de trabajar a las 18hs), cuando ya todos estaban empezando a cerrar sus temas diarios uno de nuestros proveedores nos enviá un informe de que el producto XYZ tiene 3 vulnerabilidades criticas (de 1 a 10, 10!), cada una se resuelve aplicando un workaround que nos lleva 20min cada uno o aplicando un parche que nos hace reiniciar 25 servidores, eso quiere decir unas 8hs de trabajo continuo; entonces acá es donde entra el tema de que opción es la mejor para dicho momento basada en el riesgo de suceso. Pasemos en blanco algunos datos:

* 3 vulnerabilidades criticas.

* Tenemos 25 servidores afectados.

* 3 workaround que la aplicación de cada uno nos lleva 20min. (60min en total).

* 3 parches definitivos que al aplicarlos nos tomara unas 8hs para reiniciar todos los servidores.

Que hacemos ?

En principio la mejor decisión va ser aplicar los workaround para no afectar los horarios de trabajo de todo nuestro equipo,y de otros equipos, dado que con la aplicación de los mismos se logra disminuir el riesgo de que algún atacante pueda explotar dicha vulnerabilidad. La vulnerabilidad sigue existiendo, por ende la criticidad de las mismas sigue siendo 10, pero el riesgo después de haber realizado la tarea recomendada por el fabricante logramos bajar de un riesgo Alto a Bajo. En ese momento, donde ya estamos más tranquilos dado que el riesgo de explotación es bajo, habrá que analizar si el mismo es aceptable para pasar el fin de semana y el Lunes aplicar el parche definitivo que estará solucionando las vulnerabilidades o si el fin de semana habrá que trabajar en eso (el otro riesgo a analizar será el del reinicio de los servidores, si esto lleva a una interrupción de servicio esta claro que no se puede realizar durante las horas operativas por la criticidad de los servicios).

Yo particularmente les escribo sobre algo que conozco, pero esto se aplica a cualquier área, otro ejemplo es la famosa correa de distribución de los autos, la rotura de ella es critica dado que puede ocasionar la rotura de varios componentes del motor, entonces los fabricantes de los autos establecer un X valor en kilometros, pongamos unos 60.000km o 5 años (lo primero que suceda), hasta donde el riesgo es aceptable pero después de ese kilometraje o tiempo el deterioro de da misma pasa estar en un riesgo Alto (seguramente sea medio, pero hay que cuidarse de los usuarios y mantener la industria de los repuestos) y por eso hay que cambiarla (siempre fue critica la rotura de la misma, pero su riesgo fue cambiando a medida que paso el tiempo y los kilometros).

Finalizando, no solo es importante tener uno o dos datos, sino hay que tener la mayor cantidad de datos posibles para analizar el riesgo (información) y con eso tomar buenas decisiones que mantengan el riesgo de la empresa dentro de los valores aceptables (ojo con esto, a veces los directivos pueden tomar decisiones riesgosas pero ese ya es un tema más complejo donde existe la responsabilidad por la aceptación del riesgo).

Espero poder haberles ayudado y cualquier duda me la pueden dejar en los comentarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.