Neva-es.com

Normalmente la seguridad de los sistemas se suele romper por el eslabón más débil de la cadena. Existen unos tópicos que hacen creer que estamos seguros, y que ayudan a facilitar la rotura del eslabón más débil:

• Tengo un firewall que me protege.
• Estoy usando SSL en mis aplicaciones web.
• Mis servidores están actualizados hasta el último parche.
• Nadie puede ver mis bases de datos.
• Hace 6 meses pasamos la auditoría de seguridad, ¿para que más?

Bien, como decía esto son algunos tópicos que hacen crear una falsa sensación de seguridad, el eslabón más débil se puede romper. Analicemos la situación:

• Tengo un Firewall: si necesito un firewall es por que tengo conexión a internet o por que quiero proteger ciertos segmentos de mi red. Hasta aquí está todo correcto, le pongo, lo configuro, contrato a un administrador de Firewall, y ya estoy seguro. Pero claro, que mi red ha de tener tráfico que permita la comunicación, por lo que ciertos puertos han de estar abiertos, a saber, puerto 80 para el tráfico web, puerto 25 y 110 para el mail, ya tengo las puertas abierta al público, eso sin contar con otros protocolos de comunicación.
• SSL: que mejor forma de proteger los datos de mis aplicaciones que viajar cifrados, así un men in the middle no puede lograr leer y modificar los datos. Ya tengo que añadir otro puerto más, 443, a abrir en mi firewall, y cuando los datos llegan a la aplicación se descifran y viajan entre servidores descifrados, del servidor de aplicaciones al servidor de base de datos, y ¿estoy seguro que los datos no incluyen ataques de SQL Injection o XSS?
• Los Parches: cuento con mis sistemas operativos y servidores web, aplicaciones y bbdd correctamente parcheados, pero que es lo que ha sucedido al aplicar el parche, me ha actualizado alguna de mis políticas de seguridad, cómo he aplicado estos parches, cuento con un entorno idéntico al de producción en el que hacer pruebas y validar antes de confiar. Y los parches no protegen las aplicaciones propias que se desarrollan por la necesidad de mi negocio, quién me protege estas, un parche puede dejar al descubierto una debilidad de mi aplicación, que tendré que corregir lo más rápido posible.
• Ver mi base de datos: mi base de datos está correctamente aislada por el firewall y parcheada, ya nadie puede acceder. Realmente para poder afirmar esto, se tendría que cortar hasta el acceso de las aplicaciones a los datos, en ese caso, ¿para qué tener una base de datos y una aplicación si no puedo acceder a los datos? Cualquier vulnerabilidad en mi aplicación permitirá múltiples opciones de acceso a un atacante mediante técnicas de SQLInjection.
• Pasamos la auditoría: sí, la auditoría la pasamos hace 6 meses, un mes, 15 días ¿qué más da cuando se pasó?. Nuestro negocio sigue avanzando, sigue creciendo y se siguen haciendo cambios. La simple aplicación de un parche o de una actualización de nuestras aplicaciones hacen que la auditoría que pasmos ayer la tengamos que volver a revisar y mantener los checks de las listas de validación.

Y, cuándo estoy seguro de que estoy seguro. Es una pregunta que, por lo menos yo, no me arriesgo a afirmar que estoy siempre seguro. La verdadera seguridad es no bajar la guardia, estar siempre pendiente de las actualizaciones, vigilar constantemente los análisis de tráfico, aplicar herramientas que me ayuden a detectar intrusiones y errores, hacer continuas pruebas a todos mis sistemas, sobre todo a las aplicaciones que genero, mantener el nivel de formación en todos los integrantes de una organización. Si bajo la guardia un solo segundo y me creo que estoy seguro, he roto el eslabón más débil de la cadena que me proteje.

Tampoco nos podemos volver locos aplicando seguridad, y el gasto ha de estar equilibrado a la necesidad real, he aquí el existo del gobierno que se ha de realizar.

De las noticias sobre seguridad de los últimos días me ha llamado la atención la que aparecía en distintos medios y páginas de Internet, relacionada con la violación de seguridad de lo que se suponen tendrían que ser entornos seguros y herméticos.

El titular decía “Intrusión en laboratorio nuclear norteamericano”, el resumen de la noticia venía a ser que en el ORNL (Laboratorio Nacional de Oak Ridge,Tennessee USA) venía siendo objetivo principal de phising entre los años 1990 y 2004. Cartorce años, en los que han recibido diferentes miembros de muy distintos cargos, correos basados en algo tan antiguo como el engaño para obtener las claves de acceso a los sistemas. Lo sorprendente de todo, es que algunos empleados cayeron en la trampa y facilitaron claves, lo que no dice la noticia es el daño que esto ha ocasionado.

Al margen de políticas, ya que parece que el ataque está organizado desde China, esta noticia refleja la realidad en la seguridad de la información. Y es que se puede diseñar, construir y configurar el mejor de los sistemas de seguridad, blindar todo, peo al final la parte humana es la que determina el nivel de seguridad máximo que un dato puede tener.

Es aquí donde entra la cultura de la seguridad de la información. En los últimos años se ha visto incrementada la conciencia por “proteger el dato”, y en esto la banca tiene mucho que ver, por que cuando vemos en peligro nuestros ingresos nos preocupamos. Pero en los entornos empresariales es dónde la cosa es mucho más compleja.

Son muchas las ocasiones en las que se detectan errores en los sistemas, errores producidos por las prisas, la falta de conocimiento, o la falta de prioridad a la seguridad de la información, esta se deja siempre para el final. Cuando se cierra un desarrollo y se detecta un error de seguridad, se suele escuchar como el equipo de desarrollo dice “pero los usuarios que van a utilizar esta aplicación no son técnicos, simplemente son usuarios, solo van a insertar los datos que la aplicación les pide, y hacer todas estas validaciones de los datos supone mucho más trabajo, y total para 10 usuarios…”, es algo que he escuchado a lo largo de muchos años, y es que a nadie nos gusta que nos critiquen nuestro trabajo, y se suele acompañar con un “… eso nunca nos va a suceder a nosotros…”

Es un gran error no plantearse quién es nuestro usuario, que hace en su trabajo, a dónde va con el portátil, cuanta información somos capaces de sacarle si le damos confianza, esa parte de la ingeniería social, que nadie desarrolla en un proyecto y que puede evitar muchos sustos, si se plantean desde el punto de vista de los riesgos y la importancia que tienen los datos que van a ser utilizados por la aplicación para el usuario y la compañía.

Esta falta de cultura por proteger la información, en parte motivada por la velocidad a la que se demandan los desarrollos, hacen que ataques como el comentado prosperen. Confiar que la aplicación solo la va a utilizar el usuario, y que va hacer un buen uso es un error de la “NO CULTURA DE LA SEGURIDAD”, y no de lo robusto que sea o no un sistema.

Esta cultura de la seguridad no es algo que tenga que aprender, comprender y aplicar solo desde los técnicos de la información, todos tenemos un dato que a otros pueden interesar, ese post-it con la contraseña de acceso al banco, el último plan de ventas para el próximo año encima de la mesa que puede leer la señora de la limpieza por las noches y fotocopiar para vendérselo a nuestro competidor…

Al final, la cadena siempre se rompe por eslabón más débil.

Hace unos días acudía a un evento de seguridad organizado por una importante empresa de Antivirus. El trasfondo estaba claro, vender los productos de esta compañía, pero el argumento de venta fue bueno.

Seguridad, cuando hablamos de Seguridad en el marco de las TI perseguimos el objetivo de proteger la información. Da igual el entorno en el que nos movamos en el momento que generamos un puñado de bits y estos son almacenados de una u otra forma en un dispositivo cualquiera, es en el momento de grabar cuando ya empieza a ser un puñado de bits que nos preocupa, si no por qué lo hemos guardado.

Desde el punto de vista de la seguridad la información la vamos protegiendo por capas, un firewall, un ids, un honey pot, otro firewal, otro ids, un antivirus, otro firewal, … un monton de tamagochis hasta que la cadena se rompe, y siempre rompe. Un buen día me llega un mail “Te quiero mucho…”, que bien alguien que me quiere… y voy y lo abro, al día siguiente mi plan de ventas para los próximos seis meses está en manos de mi competidor y yo arruinado.

Podemos poner muchas medidas técnicas, iremos hablando de ellas en los próximos días, pero nunca podemos bajar la guardía. El espionaje industrial, las mafias … se han aliado con las tecnologías y ahora es mucho mas rentable tener en nomina a unos cuantos piratas que se dedican al intrusismo y robo antes que tener a unos matones que intimiden, secuestren y maten. Imaginemos la fantástica película “El Padrino” con TI de por medio, la cabeza de caballo nunca hubiera aparecido en la cama, simplemente un buen día toda tu información, tus datos, todo lo que has construido en tu vida, ha desaparecido, te han borrado tu identidad y ya no eres nadie, nadie te conoce.

Que es lo que está ocurriendo en realidad en el mundo, atrás quedaron los días en los que aparecían un montón de virus . Pero esto no significa que ya no existan virus tan buenos o que los antivirus son la mejor medida de protección. Significa que el “lado del mal” avanza mucho más rápido que el “lado del bien” su unión para hacer daño les está llevando a conseguir mucho más, mientras que la ambición del lado del bien no nos esta llevando por el buen camino. El lado del mal está bien organizado, tienen infinitos ordenadores zoombis sin que nadie se de cuenta, los controlan y usan según sus necesidades.

La seguridad absoluta es imposible alcanzarla, al menos en este momento, pero si que nos queda la opción de reducir al máximo el peligro y el efecto de exposición.

Solo nos queda la unión, que haga la fuerza. Transmitir el conocimiento de cada uno, aprender de los demás y enseñar lo que hemos aprendido.