domingo, 19 de diciembre de 2010

Recuento.


Llegaron las épocas navideñas y de año nuevo. Época preferida por muchos para reflexionar sobre el pasado y el futuro. ¿Sobre qué podrían meditar los encargados de la seguridad de la información desde el punto de vista laboral? Sin querer ser pretencioso ni soberbio, aquí enlisto algunos puntos incompletos a considerar y ver si los propósitos laborales 2011 se pueden ver influenciados por nuestras reflexiones y mejorar cómo nos ven y cómo vemos a los demás.


Habilitadores. A los profesionales de seguridad nos encanta decir “No”. A pesar de escuchar que debemos de ser habilitadores, seguimos diciendo “No” ante peticiones de una nueva red inalámbrica o el uso de una iPad para el trabajo. Cuando escuchamos que la razón de ser de una empresa no es la seguridad y que ésta apoya al negocio, parece que asentamos con la cabeza pero no logramos entender su significado.

La seguridad está para que el negocio haga lo que estime que es competitivo o necesario y la seguridad está para proteger ese iPad, ese nuevo sitio e-commerce o esos discos de estado sólido que el negocio considera importante tener.


FUD. En inglés significa “Fear, Uncertainty and Doubt”. En seguridad odiamos el FUD (al menos yo sí), pero a veces lo usamos hasta sin darnos cuenta. Cada segundo martes del mes exigimos que “x” parches sean aplicados inmediatamente que porque “ve cómo Microsoft los cataloga como muy críticos”. Claro, se nos olvida el firewall personal que tenemos y otros controles que mitigan ese riesgo.

O leemos “eso del Stuxnet” y mandamos bloquear todos los USB porque “mira lo que le hicieron a una planta nuclear”. Claro, se nos olvida que con bloquear la ejecución de cualquier archivo desde las USB y otro par de controles se puede mitigar el riesgo y seguir usando los USB.

Si no queremos al FUD, tampoco lo promovamos.


Binarios. “Si quieres dar protección a ese viejo Windows 2000 es necesario ponerle antivirus. No hay de otra. Lástima que no tenga suficiente espacio en memoria”. A veces nos cuesta trabajo encontrar opciones para proteger un bien y si no tiene antivirus está sin seguridad, así de sencillo. Si no está protegido con AES de 256 bits, simplemente no está protegido. Ante una justificación razonable, debemos de pensar en opciones viables de protección, en diversos niveles que ofrezcan ambientes seguros. Los controles compensatorios existen y hay que incorporarlos cuando damos opciones. Hay que ofrecer de dulce, chile, mole, pollo y puerco, por así decirlo.


Dóciles. Algunos otros son dóciles ante “la alta dirección” y se pasan de “habilitadores” porque aunque al inicio pueden decir “no”, fácilmente dicen “sí” cuando se les presiona un poco o de plano dicen “sí” a todo. Si eres el encargado de una planta nuclear y ves que tus sistemas se infectan por USB, es factible que te puedan atacar por esa vía. Si lo dices y no te hacen caso, vuélvelo a decir y esta vez trae armada una demo para que ese riesgo no sólo lo vean en PowerPoint, sino en vivo y directo. Una hack-demo vale más que mil slides.


Congruentes. ¿Hacemos lo que decimos? Como encargados de la seguridad en una empresa, en casa tenemos nuestro antivirus desactualizado? ¿Tenemos WEP en el ruteador? ¿En nuestra laptop contamos con Adobe Reader versión 8 y la última vez que aplicamos parches al SO fue hace 4 meses?

Hay que ser congruentes y si por ejemplo das consejos de cómo navegar de manera segura, tú mismo sigue ese mismo consejo, es lo menos que podemos hacer.


80-20. El 20% de tus actividades harán más por incrementar la seguridad de la empresa que el otro 80%. Los profesionales de seguridad no dirigen todos sus esfuerzos a proteger la información. Hay “n” actividades que quitan ese tiempo valioso.

Realiza un ejercicio de una semana y ve cuántas horas le dedicas a actividades que realmente estén encaminadas en un 100% a aumentar el nivel de la seguridad de un aspecto de la organización. Te sorprenderás. Trata de incrementar ese tiempo y que éste sea lo más efectivo posible.


Conclusiones.

No sólo de bebida y comida está hecha esta época. Si estás metido en esto de la “seguridad de la información” espero que alguna de estas reflexiones te haya hecho “click”; y si no fue así, piensa en otros puntos importantes: siempre es posible mejorar.

Si no estás metido en esto de la seguridad, bien te puede ayudar para entender un poco mejor algunos de los problemas y atascos a los que se enfrentan “esos de seguridad”.


Punto y aparte. ¿Mi mensaje navideño-año nuevo? Reflexiona sobre lo que personalmente lograste y lo que deseas para este 2011.

No te pongas propósitos banales o efímeros y no te llenes de “n” propósitos. Es mejor un par que sepas que son importantes y que puedes cumplir a lo largo de todo el 2011.

Yo te puedo colmar de buenos deseos, pero el o la que va a hacer posible eso que tanto deseas eres tú mismo, nadie más. Yo te puedo desear salud, felicidad y dinero; pero quien tiene que ejercitarse para tener salud eres tú; quien tiene que llevarse mejor con la familia y vecinos no soy yo; y quien debe de tener un plan de acción para conseguir más dinero serás tú mismo. Así es que mi deseo para ti es que desees cumplir tus anhelos y que tomes acción…como dicen por ahí: “a darle”.

domingo, 5 de diciembre de 2010

Wiki wiki.


Si nunca habías escuchado hablar de los Wikileaks, seguramente esta semana te enteraste o si ya sabías más o menos del tema, probablemente incrementaste lo que sabías al respecto.

El sitio de Internet de los wikileaks es una herramienta para publicar información confidencial y su postura, básicamente, es la del libre acceso a la información. De ahí que reciben datos, los analizan y posteriormente se decide si es publicada. Por otro lado están los que piensan que publicar cierta información clasificada o importante es riesgoso por las implicaciones que conlleva.

Si estás a favor de los wikileaks, tal vez no te guste lo que voy a decir. La idea romántica, “cool” y rebelde del libre acceso a toda la información es como la idea de relacionar a los crackers con “héroes” y ese pensamiento de “quisiera ser como ellos”. Mi trabajo es resguardar lo mejor posible la información, por lo tanto, sería incongruente respaldar eso del “libre acceso a la información” o a los propios wikileaks. Las áreas de seguridad de la información precisamente tratan de evitar que ésta pierda su confidencialidad (entre otras cuestiones) y ello implica que no toda la información es pública sino que tiene niveles de clasificación dentro de una organización (confidencial, privada, pública, etc.).

Los wikileaks pueden sonar “cool” y buena onda siempre y cuando tu organización no sea la afectada, por así decirlo. Muchos comulgan con la idea de “pelear contra el sistema” porque es “buen plan” estar del lado de los que se rebelan; yo no comulgo con esa idea.

Miren, vean eso del “libre acceso a la información” del lado personal. Imaginen que el señor X pone en Internet varios aspectos de su vida privada. Hackea su Facebook y expone todo lo que han puesto ahí. Saca a la luz pública sus archivos de su computadora y el contenido de sus correos electrónicos, los sitios que visitan y sus números de tarjetas , cuánto ganan, dónde trabajan y la dirección en donde viven. Tal vez no les agrade ver todo esto regado por ahí.

Así como las personas tienen derecho a tener cierto nivel de privacidad, también lo tienen las organizaciones. Esa es mi postura y respeto si tienes otra.

El wikileak es un riesgo particular. No es un bug en un software, no es una mala configuración en un ruteador o firewall y tampoco tiene que ver con que uno use Linux, Windows o Mac. El wikileak explota una debilidad en las personas, quienes se basan en sus creencias o principios para considerar publicar cierta información. Ciertamente, la gente tiene que poder acceder a la información para hacer su trabajo, así es que no importa qué algoritmos de cifrado se usen ni la seguridad del canal de transmisión; en algún momento la información debe estar disponible a ciertas personas y si creen que debe estar en wikileak o similar, harán todo lo posible por extraerla y publicarla.

¿Existen controles para evitar la fuga de información? Vaya que los hay, ahí están por ejemplo los famosos DLP (Data Leak Prevention) que varias empresas estarán gustosas de mostrarles, o bien una solución tipo OpenDLP. Hay otros mecanismos que en conjunto pueden levantar una alerta cuando se extraiga cierto tipo de información (o cierta cantidad) o de plano pueden prevenir el copiado de datos a un medio externo como un disco duro, USB o DVD, entre otros posibles controles administrativos y tecnológicos.

Sí, existen diversos controles que mitigarán el riesgo. Por ahí @Dejan_Kosutic comentaba que el 27001 podría ayudar al “problema” del wikileak. Ciertamente y sin duda, pero como siempre, podremos mitigar el riesgo ya que por más tecnología y procesos administrativos que pongamos, si hay uno o varios individuos en la organización que creen fervientemente que están haciendo un bien a la sociedad al wikileakear, harán esfuerzos considerables para hacerlo (y procurarán realizarlo sin ser detectados). Digamos que con el wikileak, ahora debemos “creer” en el “insider threat” independientemente de las estadísticas a favor y en contra; con uno o un par de “rebeldes” en puestos clave tienes suficiente para “creer” y ponerle atención.

Por otro lado, el wikileak logró tal vez lo que no hicieron los virus, troyanos y rootkits: preocupación por la seguridad de la información (y no pocas veces la preocupación genuina se traduce en dinero para fortalecer dicha seguridad). También logró el entendimiento de aquellos que todavía se preguntan a qué se refiere uno con eso de “los activos de información” y lo de “la información tiene valor para las organizaciones”.

Entonces, para resumir. Los wikileaks tienen para algunos su lado romántico-seductor-rebelde que los hace suspirar. A mí no. En otro sentido, los wikileaks y riesgos similares explotan la postura de las personas y si bien podemos poner tecnología para minimizar ese riesgo, debemos de tener en cuenta otros controles compensatorios (perfiles psicológicos, observación del comportamiento, etc.). Y ya por último, si en tu análisis de riesgos no tienes considerado lo de la “fuga de información”, este sería un buen momento para incorporarlo, no crees?