domingo, 5 de diciembre de 2010

Wiki wiki.


Si nunca habías escuchado hablar de los Wikileaks, seguramente esta semana te enteraste o si ya sabías más o menos del tema, probablemente incrementaste lo que sabías al respecto.

El sitio de Internet de los wikileaks es una herramienta para publicar información confidencial y su postura, básicamente, es la del libre acceso a la información. De ahí que reciben datos, los analizan y posteriormente se decide si es publicada. Por otro lado están los que piensan que publicar cierta información clasificada o importante es riesgoso por las implicaciones que conlleva.

Si estás a favor de los wikileaks, tal vez no te guste lo que voy a decir. La idea romántica, “cool” y rebelde del libre acceso a toda la información es como la idea de relacionar a los crackers con “héroes” y ese pensamiento de “quisiera ser como ellos”. Mi trabajo es resguardar lo mejor posible la información, por lo tanto, sería incongruente respaldar eso del “libre acceso a la información” o a los propios wikileaks. Las áreas de seguridad de la información precisamente tratan de evitar que ésta pierda su confidencialidad (entre otras cuestiones) y ello implica que no toda la información es pública sino que tiene niveles de clasificación dentro de una organización (confidencial, privada, pública, etc.).

Los wikileaks pueden sonar “cool” y buena onda siempre y cuando tu organización no sea la afectada, por así decirlo. Muchos comulgan con la idea de “pelear contra el sistema” porque es “buen plan” estar del lado de los que se rebelan; yo no comulgo con esa idea.

Miren, vean eso del “libre acceso a la información” del lado personal. Imaginen que el señor X pone en Internet varios aspectos de su vida privada. Hackea su Facebook y expone todo lo que han puesto ahí. Saca a la luz pública sus archivos de su computadora y el contenido de sus correos electrónicos, los sitios que visitan y sus números de tarjetas , cuánto ganan, dónde trabajan y la dirección en donde viven. Tal vez no les agrade ver todo esto regado por ahí.

Así como las personas tienen derecho a tener cierto nivel de privacidad, también lo tienen las organizaciones. Esa es mi postura y respeto si tienes otra.

El wikileak es un riesgo particular. No es un bug en un software, no es una mala configuración en un ruteador o firewall y tampoco tiene que ver con que uno use Linux, Windows o Mac. El wikileak explota una debilidad en las personas, quienes se basan en sus creencias o principios para considerar publicar cierta información. Ciertamente, la gente tiene que poder acceder a la información para hacer su trabajo, así es que no importa qué algoritmos de cifrado se usen ni la seguridad del canal de transmisión; en algún momento la información debe estar disponible a ciertas personas y si creen que debe estar en wikileak o similar, harán todo lo posible por extraerla y publicarla.

¿Existen controles para evitar la fuga de información? Vaya que los hay, ahí están por ejemplo los famosos DLP (Data Leak Prevention) que varias empresas estarán gustosas de mostrarles, o bien una solución tipo OpenDLP. Hay otros mecanismos que en conjunto pueden levantar una alerta cuando se extraiga cierto tipo de información (o cierta cantidad) o de plano pueden prevenir el copiado de datos a un medio externo como un disco duro, USB o DVD, entre otros posibles controles administrativos y tecnológicos.

Sí, existen diversos controles que mitigarán el riesgo. Por ahí @Dejan_Kosutic comentaba que el 27001 podría ayudar al “problema” del wikileak. Ciertamente y sin duda, pero como siempre, podremos mitigar el riesgo ya que por más tecnología y procesos administrativos que pongamos, si hay uno o varios individuos en la organización que creen fervientemente que están haciendo un bien a la sociedad al wikileakear, harán esfuerzos considerables para hacerlo (y procurarán realizarlo sin ser detectados). Digamos que con el wikileak, ahora debemos “creer” en el “insider threat” independientemente de las estadísticas a favor y en contra; con uno o un par de “rebeldes” en puestos clave tienes suficiente para “creer” y ponerle atención.

Por otro lado, el wikileak logró tal vez lo que no hicieron los virus, troyanos y rootkits: preocupación por la seguridad de la información (y no pocas veces la preocupación genuina se traduce en dinero para fortalecer dicha seguridad). También logró el entendimiento de aquellos que todavía se preguntan a qué se refiere uno con eso de “los activos de información” y lo de “la información tiene valor para las organizaciones”.

Entonces, para resumir. Los wikileaks tienen para algunos su lado romántico-seductor-rebelde que los hace suspirar. A mí no. En otro sentido, los wikileaks y riesgos similares explotan la postura de las personas y si bien podemos poner tecnología para minimizar ese riesgo, debemos de tener en cuenta otros controles compensatorios (perfiles psicológicos, observación del comportamiento, etc.). Y ya por último, si en tu análisis de riesgos no tienes considerado lo de la “fuga de información”, este sería un buen momento para incorporarlo, no crees?