Neva-es.com

Normalmente la seguridad de los sistemas se suele romper por el eslabón más débil de la cadena. Existen unos tópicos que hacen creer que estamos seguros, y que ayudan a facilitar la rotura del eslabón más débil:

• Tengo un firewall que me protege.
• Estoy usando SSL en mis aplicaciones web.
• Mis servidores están actualizados hasta el último parche.
• Nadie puede ver mis bases de datos.
• Hace 6 meses pasamos la auditoría de seguridad, ¿para que más?

Bien, como decía esto son algunos tópicos que hacen crear una falsa sensación de seguridad, el eslabón más débil se puede romper. Analicemos la situación:

• Tengo un Firewall: si necesito un firewall es por que tengo conexión a internet o por que quiero proteger ciertos segmentos de mi red. Hasta aquí está todo correcto, le pongo, lo configuro, contrato a un administrador de Firewall, y ya estoy seguro. Pero claro, que mi red ha de tener tráfico que permita la comunicación, por lo que ciertos puertos han de estar abiertos, a saber, puerto 80 para el tráfico web, puerto 25 y 110 para el mail, ya tengo las puertas abierta al público, eso sin contar con otros protocolos de comunicación.
• SSL: que mejor forma de proteger los datos de mis aplicaciones que viajar cifrados, así un men in the middle no puede lograr leer y modificar los datos. Ya tengo que añadir otro puerto más, 443, a abrir en mi firewall, y cuando los datos llegan a la aplicación se descifran y viajan entre servidores descifrados, del servidor de aplicaciones al servidor de base de datos, y ¿estoy seguro que los datos no incluyen ataques de SQL Injection o XSS?
• Los Parches: cuento con mis sistemas operativos y servidores web, aplicaciones y bbdd correctamente parcheados, pero que es lo que ha sucedido al aplicar el parche, me ha actualizado alguna de mis políticas de seguridad, cómo he aplicado estos parches, cuento con un entorno idéntico al de producción en el que hacer pruebas y validar antes de confiar. Y los parches no protegen las aplicaciones propias que se desarrollan por la necesidad de mi negocio, quién me protege estas, un parche puede dejar al descubierto una debilidad de mi aplicación, que tendré que corregir lo más rápido posible.
• Ver mi base de datos: mi base de datos está correctamente aislada por el firewall y parcheada, ya nadie puede acceder. Realmente para poder afirmar esto, se tendría que cortar hasta el acceso de las aplicaciones a los datos, en ese caso, ¿para qué tener una base de datos y una aplicación si no puedo acceder a los datos? Cualquier vulnerabilidad en mi aplicación permitirá múltiples opciones de acceso a un atacante mediante técnicas de SQLInjection.
• Pasamos la auditoría: sí, la auditoría la pasamos hace 6 meses, un mes, 15 días ¿qué más da cuando se pasó?. Nuestro negocio sigue avanzando, sigue creciendo y se siguen haciendo cambios. La simple aplicación de un parche o de una actualización de nuestras aplicaciones hacen que la auditoría que pasmos ayer la tengamos que volver a revisar y mantener los checks de las listas de validación.

Y, cuándo estoy seguro de que estoy seguro. Es una pregunta que, por lo menos yo, no me arriesgo a afirmar que estoy siempre seguro. La verdadera seguridad es no bajar la guardia, estar siempre pendiente de las actualizaciones, vigilar constantemente los análisis de tráfico, aplicar herramientas que me ayuden a detectar intrusiones y errores, hacer continuas pruebas a todos mis sistemas, sobre todo a las aplicaciones que genero, mantener el nivel de formación en todos los integrantes de una organización. Si bajo la guardia un solo segundo y me creo que estoy seguro, he roto el eslabón más débil de la cadena que me proteje.

Tampoco nos podemos volver locos aplicando seguridad, y el gasto ha de estar equilibrado a la necesidad real, he aquí el existo del gobierno que se ha de realizar.

De las noticias sobre seguridad de los últimos días me ha llamado la atención la que aparecía en distintos medios y páginas de Internet, relacionada con la violación de seguridad de lo que se suponen tendrían que ser entornos seguros y herméticos.

El titular decía “Intrusión en laboratorio nuclear norteamericano”, el resumen de la noticia venía a ser que en el ORNL (Laboratorio Nacional de Oak Ridge,Tennessee USA) venía siendo objetivo principal de phising entre los años 1990 y 2004. Cartorce años, en los que han recibido diferentes miembros de muy distintos cargos, correos basados en algo tan antiguo como el engaño para obtener las claves de acceso a los sistemas. Lo sorprendente de todo, es que algunos empleados cayeron en la trampa y facilitaron claves, lo que no dice la noticia es el daño que esto ha ocasionado.

Al margen de políticas, ya que parece que el ataque está organizado desde China, esta noticia refleja la realidad en la seguridad de la información. Y es que se puede diseñar, construir y configurar el mejor de los sistemas de seguridad, blindar todo, peo al final la parte humana es la que determina el nivel de seguridad máximo que un dato puede tener.

Es aquí donde entra la cultura de la seguridad de la información. En los últimos años se ha visto incrementada la conciencia por “proteger el dato”, y en esto la banca tiene mucho que ver, por que cuando vemos en peligro nuestros ingresos nos preocupamos. Pero en los entornos empresariales es dónde la cosa es mucho más compleja.

Son muchas las ocasiones en las que se detectan errores en los sistemas, errores producidos por las prisas, la falta de conocimiento, o la falta de prioridad a la seguridad de la información, esta se deja siempre para el final. Cuando se cierra un desarrollo y se detecta un error de seguridad, se suele escuchar como el equipo de desarrollo dice “pero los usuarios que van a utilizar esta aplicación no son técnicos, simplemente son usuarios, solo van a insertar los datos que la aplicación les pide, y hacer todas estas validaciones de los datos supone mucho más trabajo, y total para 10 usuarios…”, es algo que he escuchado a lo largo de muchos años, y es que a nadie nos gusta que nos critiquen nuestro trabajo, y se suele acompañar con un “… eso nunca nos va a suceder a nosotros…”

Es un gran error no plantearse quién es nuestro usuario, que hace en su trabajo, a dónde va con el portátil, cuanta información somos capaces de sacarle si le damos confianza, esa parte de la ingeniería social, que nadie desarrolla en un proyecto y que puede evitar muchos sustos, si se plantean desde el punto de vista de los riesgos y la importancia que tienen los datos que van a ser utilizados por la aplicación para el usuario y la compañía.

Esta falta de cultura por proteger la información, en parte motivada por la velocidad a la que se demandan los desarrollos, hacen que ataques como el comentado prosperen. Confiar que la aplicación solo la va a utilizar el usuario, y que va hacer un buen uso es un error de la “NO CULTURA DE LA SEGURIDAD”, y no de lo robusto que sea o no un sistema.

Esta cultura de la seguridad no es algo que tenga que aprender, comprender y aplicar solo desde los técnicos de la información, todos tenemos un dato que a otros pueden interesar, ese post-it con la contraseña de acceso al banco, el último plan de ventas para el próximo año encima de la mesa que puede leer la señora de la limpieza por las noches y fotocopiar para vendérselo a nuestro competidor…

Al final, la cadena siempre se rompe por eslabón más débil.

A la hora de crear una política de seguridad de la información, hemos de cuidar las formas para quienes hemos de cumplirlas no las veamos como una amenaza a nosotros mismos como trabajadores y como un impedimento a nuestro trabajo diario. Este temor por parte de los componentes de un grupo afectado por una política de seguridad hace que en la mayoría de los casos cueste que la apliquen, y hace que los que nos ponemos la gorra de seguridad de la información nos tengamos que volver en ocasiones más agresivos hasta el punto de llegar a aplicar un reglamento severo, con sanciones incluso económicas dependiendo de la importancia del dato.

También es cierto que cada día somos más los que nos preocupamos por el medio ambiente. El problema del cambio climático aparece como unas 30 veces por día en los distintos medios de comunicación, conversaciones con amigos o de trabajo. Aprovechando la fuerte repercusión que esto está teniendo en la sociedad, y dado que todos queremos disfrutar de la tierra, podemos utilizarlo como excusa, para aplicar ciertas medidas Ecológicas que refuerzan nuestra política de seguridad.

Algunas políticas de seguridad de la información ecológicas, pueden ser:
- Ordenadores apagados fuera del horario de trabajo. Es que les cuesta arrancar por las mañanas. Por la lucha ecológica, diremos que los ordenadores encendidos consumen mucha energía de una forma innecesaria, y por mucho que le cueste arrancar todos los servicios y aplicaciones al comienzo de la jornada, no va a consumir más potencia de la que ya consume.
- Sesiones bloqueadas y pantallas apagadas: los usuarios tendrán configurado su puesto para que a los 5 minutos de inactividad, la cuenta quede bloqueada, a los 7 minutos el monitor se desconecta, a los 15 el monitor en modo suspendido, y a los 20 minutos, el ordenador entra en modo suspendido. De modo que si nos vamos a tomar un café, a una reunión, o nos vamos a comer, al regresar el ordenador habrá ahorrado una cantidad de energía con respecto tenerlo encendido con la cuenta bloqueada.
- Mesas limpias y destrucción del papel: ¿cuántos de nosotros acumulamos papeles, papeles y más papeles en nuestras mesas? ¿Somos conscientes de la importancia de la información existente en el papel? No imprimir aquello que no sea importante, contribuiremos a talar menos árboles. Si no nos queda otra que imprimirlo, cuándo terminemos de usarlos los guardamos en los cajones en carpetas para que quede ordenado, o la correspondiente bandeja. El proceso de reciclaje cuesta mucho menos si el papel ha sido previamente triturado, por lo que estaremos contribuyendo a reducir el consumo energético en las plantas de reciclaje, trituremos aquellos documentos que no nos sirven en lugar de hacer una bola para hacer canasta en la papelera. Por otro lado contribuiremos a una mejor imagen de nuestra compañía

Estas políticas, evidentemente no tendrían que ser publicadas en la política de seguridad de la información, tendrían que hacerse bajo el marco de Seguridad y Medio Ambiente, incluso es más fácil convencer al nuestros jefes por el tema ecológico que por el tema de la seguridad de la información.