Como manejar la complejidad en Ciberseguridad

(Versión en inglés aquí/English version here)

Esta semana leíamos la nota de Dan Raywood en Infosecurity, citando la intervención de Martin Roesch, VP de Arquitecturas Cisco Business Security, que decía algo así: "la complejidad es un problema real que debe ser tratado y mientras nos quejamos sobre él, nadie hace nada acerca de ello".

Efectivamente, Roesch advierte sobre la tendencia creciente de la industria de ciberseguridad a crear capa sobre capa de tecnologías de "propósito específico", para resolver un determinado tipo de vulnerabilidad o amenaza, generando una "proliferación de cajas".  Esto trae como consecuencia un notable aumento de la complejidad en la gestión y mantenimiento de estas "nuevas cajas", así como del análisis y explotación de la información que generan. En definitiva, cree que la industria ha caído en la "trampa de la complejidad".

Este concepto ya había sido definido por Tom Peters muchos años atrás, en 1987, en este brillante artículo.  Y hace referencia a la tendencia de la industria occidental (particularmente de la americana) a privilegiar las soluciones complejas, caras, de largas fases de investigación y desarrollo de laboratorio, en lugar de soluciones simples, evolutivas, de bajo coste.  

Este modelo de seguridad "en capas" condena a las empresas y Administraciones Públicas (sobre todo a las infraestructuras críticas) a arrastrar una gran ineficiencia en sus operaciones de TI, obligando a manejar múltiples consolas que requieren de personal especializado, multiplicar infraestructuras de alojamiento y proceso de datos, y disponer de múltiples servicios de mantenimiento y reparación. 

Pero también es una forma de dilapidar los valiosos "recursos naturales" de la industria de ciberseguridad, en la figura de ingenieros, técnicos y programadores, que duplican esfuerzos en solucionar problemas que afectan pequeños "nichos" de pocos clientes con soluciones muy complejas.  Algo parecido a lo que ocurrió con la guerra acorazada en la II Guerra Mundial.

Tras la derrota de Francia por la Alemania Nazi en 1940 había quedado demostrado que la era de las trincheras estaba obsoleta y que la base de cualquier estrategia de guerra terrestre estaría basada en las fuerzas mecanizadas, particularmente de los vehículos blindados (tanques).   Desde entonces, todos los ejércitos se lanzaron a una carrera para mecanizar sus fuerzas.  En esta hubo dos enfoques muy diferenciados.

El Gobierno del III Reich contrató a los más prestigiosos diseñadores de automoción, los equipos de Ferdinand Porsche y Oscar Henschel, quienes desarrollaron los vehículos de nueva generación, cuya "obra maestra" se transformó en el tanque Tiger II.  Adicionalmente, diseñaron toda una línea de vehículos blindados que iba desde coches ligeramente acorazados, artillería autopropulsada de diverso calibre, tanques anfibios, cazatanques, tanques super-pesados (como el MAUS) y otros.

Tanque Elephant, una de las variantes de la línea Tiger, este diseñado por Ferdinand Porsche

Una división acorazada (Panzer) alemana típica, promediando el conflicto entre 1942 y 1945, llevaba una amplia colección de vehículos blindados para diferentes propósitos, con cañones y ametralladoras de distinto calibre, motores de diferente potencia y tecnología. Sin hablar de tripulaciones altamente especializadas, con largas horas de entrenamiento. Y debía transportar una gran cantidad de combustible, dado que estos vehículos pesados eran grandes consumidores.

En el otro extremo, el gran enemigo del ejército alemán, el Ejército Rojo aplicó una estrategia muy diferente. Seleccionó apenas dos diseños básicos de tanque: el T-34 y el KV-1, evolucionados de los  tanques ligeros utilizados (con muchos fallos) en la Guerra Civil Española, producidos por la fábrica Morozov de Kharkov y la antigua Putilov de Leningrado. En el diseño colaboraron activamente los propios veteranos de los combates.  

El sencillo KV-1

Se priorizó abiertamente la rapidez de la producción y la sencillez en la operación. Una división soviética típica tenía muchos más tanques que las alemanas y estos eran "todo terreno", capaces de operar en cualquier condición de suelo y clima, aunque mucho menos aptos para el combate mano a mano contra un vehículo enemigo similar. El personal necesario para operarlos se entrenaba en horas: los tanques podían salir ya tripulados de la fábrica, directamente al frente de combate, sin pasar por los campos de maniobras.

El resultado de estas dos estrategias se reflejó en el campo de batalla. Cada división alemana debía llevar un gran número de mecánicos entrenados y repuestos para cada vehículo. La sofisticada tecnología que utilizaban causaba frecuentes fallos y retrasaba la entrega de las unidades al frente.  Las fábricas alemanas tenían que disponer de líneas de montaje para unos 60 modelos de vehículos diferentes, no alcanzando ninguna una gran economía de escala. La producción de cada modelo podía alcanzar entre 25 y 100 unidades al mes. El coste de producción era alto, consumiendo mucho capital. Peters diría que la industria de automoción alemana había caído en la "trampa de la complejidad".

En cambio, las divisiones acorazadas del Ejército Rojo tenían siempre muchas más unidades disponibles.  Esta mecánica básica y simple facilitaba la gestión logística: los repuestos se podían intercambiar de unos vehículos a otros sin dificultad. Se llevó al límite la economía de escala y se optimizaron los procesos de producción con ayuda de ingenieros de la industria automotriz americana.  El coste de producción era muy inferior al de un tanque alemán, alcanzando una producción 4 veces superior a la del III Reich.

Aún así, cada unidad alemana era extremadamente eficiente en el combate uno-a-uno contra cualquier vehículo similar del adversario, en algunos casos alcanzando un número de victorias de 10 a 1.   Para compensar esta deficiencias, el Ejército Rojo desarrolló la llamada "doctrina operacional".  Esta determinaba que las unidades a nivel operacional debían disponer de todas las armas y servicios en forma autónoma (artillería, logística, servicios sanitarios, aviación, blindados), bajo el mismo mando operacional.  De esta forma, se garantizaba la total "integración" operativa, alcanzando una gran eficiencia en la gestión de los recursos, y los mandos operacionales tenían un gran "empowerment".

Esto permitía compensar las desventajas mano-a-mano con los alemanes con una mayor flexibilidad y movilidad de los recursos. Si los sofisticados tanques alemanes lograban una victoria local en una parte del frente, rápidamente los soviéticos eran capaces de desplazar tropas mecanizadas, tanques, artillería y bombarderos tácticos para cerrar las brechas y contenerlos. Y pasar rápidamente a la ofensiva en otros sectores.  Por contra, Hitler implementó un control estricto y centralizado del uso de sus carísimos recursos blindados, que prácticamente no podían usarse en ciertas cantidades sin su autorización directa.

Con esta combinación letal, al final, la mayor parte de los sofisticados y especializados blindados alemanes fueron destruidos...por sus propias tripulaciones, al quedarse rezagados por falta de repuestos o de combustible.   Las grandes batallas de tanques como la Operación Urano, la de Kursk o la Operación Bagration fueron grandes derrotas para la estrategia de la complejidad.

Un T-34 y un Panzer IV en el monumento a la batalla del paso de Duklass

En el largo plazo, la "trampa de la complejidad" costó muy caro a las tropas del III Reich (para ampliar el tema se puede leer el libro Richard Overy, ¿Por qué triunfaron los Aliados?). Una estrategia basada en la simplicidad de los medios, la integración de las capas de servicio y una cadena de mando ágil fue mucho más eficaz y eficiente.    

En el caso de la ciberseguridad, ¿Cómo enfrentarse a la "trampa de la complejidad"? Roesch recomienda a la industria buscar formas de integración,. estandarización o alianza entre diferentes fabricantes para reducir el número de capas y así disminuir las necesidades logísticas y de gestión (algo así como reducir el número de modelos de tanque). Es una forma de autoprotección porque el gasto en ciberseguridad está creciendo en los operadores de infraestructuras críticas, con el riesgo de hacerse insostenible.

Quizás, desde el punto de vista del usuario, se necesita formular una nueva "doctrina operacional" para la ciberseguridad. Así la industria se adaptará por si misma a las nuevas demandas de sus grandes clientes (empezando por los Gobiernos, las FF.AA. y de Seguridad, y las infraestructuras críticas) y tenderá a reducir su propia complejidad, a través de productos más integrados y "todo terreno". Esta nueva doctrina consistiría en:

• Revisar el mapa de riesgos más probables y optimizar el número de capas, evitando superposiciones, en una nueva arquitectura de Seguridad, que no busque lo mejor ante cada amenaza independiente sino un "sistema" que funcione en su conjunto
• Ganar economías de escala a través de centros de competencia compartidos (público-privados) para formar en forma homogénea a los profesionales en tecnologías básicas y normativa (no dejando esta formación en manos de la industria).  En esta dirección va la nueva normativa europea.
• Finalmente, desarrollar un programa de respuesta ágil por los mandos "en el terreno" para atender cualquier situación inesperada y cerrar rápidamente las brechas que se puedan producir, compartiendo información (y eventualmente recursos) entre distintas organizaciones.

O, como dice Peters, quizás se trata sólo de "hacer ingeniería", definida como la "habilidad para hacer por $1 lo que un maldito tonto haría por $ 2".