domingo, 16 de octubre de 2011

Usuarios: Presuntos Culpables


El deporte favorito de algunos expertos en seguridad es levantar la voz en contra de esos infames usuarios. “Son el eslabón más débil de cualquier organización”. “Es que no tienen ni idea de que ponen en riesgo a la información” (favor de agregar tono de voz desesperada).
Desde hace tiempo abundan ejemplos de este deporte por despreciar la poca cultura en seguridad informática de los empleados corporativos: “Es que ni con campañas de security awareness entienden”.
Ahora bien, lo curioso es que cuando volteas a ver las infraestructuras informáticas de estos Señores de la Seguridad te das cuenta de que tienen más hoyos que un queso gruyere.
Sistemas operativos sin tener sus parches al día o aplicaciones desactualizadas y vulnerables. Eso sí, con antivirus (y tal vez no todos actualizados) pero sin listas blancas/firewall personal. Uso de protocolos inseguros “porque todavía no se pueden quitar”. Páginas web que dan la bienvenida a los SQL injection.
Me extraña que se quejen de lo descuidados que son los usuarios cuando ellos mismos no tienen las TI robustas y al día. “Es que mis usuarios le dan click a cuanta cosa les llega y *claro*… ya les cayó el exploit”. Ok dude, pero ese ataque en principio fue posible porque TÚ dejaste al Adobe Reader sin parchar, cierto?
Si bien puedes engañar al usuario para que te dé su contraseña por teléfono y ahí sí no es un problema informático, lo cierto es que muchos otros ataques son posibles en principio porque la infraestructura de TI tiene huecos…y ese no es el trabajo de los usuarios sino de los Señores de la Seguridad de la Información.
“Comprometieron el equipo de este wey y de ahí se metieron al servidor corporativo para sacar los números de tarjetas de crédito de nuestros clientes”. Cuando le preguntamos: “Oye, y el equipo del usuario necesitaba tener conectividad con el servidor corporativo??”. “Errr, bueeeeno. Pues no. Pero es que ÉL ejecutó el attachment cuando claramente debería de saber que es un riesgo…si hasta está en nuestra política de seguridad en la página 876”. “Ah! Mira. Pues qué te parece si hacemos un proyecto para restringir el acceso a los servidores para que no desde cualquier equipo se pueda acceder a ellos. Se puede hacer un filtrado por dirección IP y puerto”. “Aschhh, es que es muuucho trabajo. Mejor educar a los usuarios. Son la base de la seguridad ya que bla, bla, bla”.
No me malentiendan. Los usuarios son parte importante de la estrategia de seguridad dentro de las empresas y ciertamente muchas veces participan activamente para que un ataque se concrete (como por ejemplo en casos de APT). Mi punto es que no debes criticarlos cuando uno mismo no hace lo suficiente por su infraestructura.
En fin. Si conocen a un Señor de la Seguridad que se queje amargamente de lo incivilizados que son sus usuarios en cuestiones de seguridad, por favor acérquenle este pequeño artículo. Seguro me dirá que estoy mal…y saben? Me encanta estar mal.