domingo, 6 de mayo de 2012

El Principio de Pareto aplicado


Una consulta recurrente al momento de establecer algunos procesos de Seguridad de la Información está relacionada con la dificultad al momento de comenzar. 

Por ejemplo, al momento de planificar la Remediación de Vulnerabilidades, el primer interrogante que surge es como priorizar los hallazgos. Una primera aproximación es la aplicación del Principio de Pareto a la Remediación en particular y a la Seguridad de la Información en general.


Comencemos por el Principio


El Principio de Pareto fue enunciado en 1906 por Vilfredo Pareto, un filósofo, sociólogo y economista italiano quién, mediante la observación de la sociedad italiana de principios del siglo 20, especialmente en términos de riqueza, identificó en forma empírica y aproximada que el 80% de la población tenía el 20% de la riqueza del país y el 20% restante de la población, ostentaba el otro 80% de riqueza. De ahí que a este principio también se lo denomine la regla del 80-20.


Si bien el principio de Pareto no es exacto y la relación 80-20 es una aproximación que varía en función de gran cantidad de factores, una de las aplicaciones del mismo consiste en identificar y priorizar las causas de un determinado problema. Para ello propone que la mayor cantidad de problemas en un determinado contexto (80%) se debe a un reducido número de causas (20%). Visto desde otra perspectiva, si atacamos ese 20% de las causas, estaremos resolviendo el 80% de los problemas.

Si aplicamos el Principio de Pareto a la Remediación de Vulnerabilidades, el secreto está en focalizar el esfuerzo en la remediación de aquel pequeño número de vulnerabilidades que concentra el mayor porcentaje de riesgos para la organización.

A título ilustrativo, veamos un ejemplo aplicando este principio a la remediación de vulnerabilidades web.


Aplicación en la Remediación de Vulnerabilidades web


Supongamos que una empresa, luego de hacer un análisis para determinar que tan alineados con el OWASP Top 10 se encuentra, obtuvo los resultados que se muestran en la Tabla 1.

Tabla 1 - Porcentaje de vulnerabilidades afectadas en las aplicaciones web de la organización.
En la Figura 1 podemos apreciar estos mismos datos volcados a un gráfico de barras. Este gráfico nos permite visualizar el peso que cada una de estas vulnerabilidades tiene en las aplicaciones de la organización.

Figura 1 - Podemos apreciar la influencia de las vulnerabilidad sobre las aplicaciones comparadas entre sí.

De esta forma, intuitivamente vemos que las dos primeras vulnerabilidades acaparan más del 60% del total, con lo cual, si la organización se focaliza en resolver las vulnerabilidades de Inyección y las de Cross-Site Scripting de todas sus aplicaciones, habrá reducido en más de un 60% el total de vulnerabilidades que afectan a estas aplicaciones y en consecuencia en riesgo asociado a las mismas. Si en lugar de las dos primeras vulnerabilidades, la organización se concentra en las primeras tres, la reducción será de más de un 70%.

En el gráfico que vemos en la Figura 2 podemos observar con mayor nivel de detalle como a medida que remediamos  más vulnerabilidades, el porcentaje que se cubre es mayor.

Figura 2 - Este gráfico permite identificar rápidamente cuales son las vulnerabilidades que más afectan a las aplicaciones.

En términos generales, más allá de la relación 80-20, lo importante es concentrar los esfuerzos en aplicar los controles de seguridad necesarios para resolver aquellas vulnerabilidades que representen un mayor riesgo para los Activos de Información críticos, que en definitiva son los que soportan el negocio de la compañía.

En breve analizaremos otras situaciones donde también podemos aplicar el Principio de Pareto, y no necesariamente relacionadas con la Seguridad de la Información. Espero que luego de la lectura de este post tengan en mente algunas.


Referencias


Un buen punto de partida al momento de encarar la remediación de vulnerabilidades es concentrar los esfuerzos en implementar aquellos controles que permiten resolver las vulnerabilidades de mayor criticidad para el negocio o bien aquellas que suelen encontrarse con mayor frecuencia. En esta linea a continuación encontrarán los enlaces para descargar 3 (tres) documentos: El Top 20 Security Controls del SANS,  El Top 35 Mitigations del Departamento de Defensa de Australia (Australian DsD) y el OWASP Top 10 mencionado previamente.

SANS Top 20: http://bit.ly/yTPj7s
Australian DsD Top 35: http://bit.ly/xE5rZy
OWASP Top 10: http://bit.ly/zILH1q


No hay comentarios:

Publicar un comentario