miércoles, 19 de abril de 2017

Destrucción de Documentos

Crear información. Transferir esos datos. Usarlos para un objetivo útil. Y al final destruirlos. Simplifiqué al máximo el ciclo de la información y en este artículo quiero enfocarme en ese último paso que en muchas corporaciones puede no llevarse a cabo consistentemente. O tal vez nunca se haga.


Los documentos que tiramos a la basura contienen todo tipo de información desde la banal hasta la confidencial. Y si mientras “vive” en nuestras computadoras o archiveros le damos un tratamiento acorde a su sensibilidad (¿verdad?), no también deberíamos de hacer lo mismo al final de su vida?

Pero el primer problema es que la gente sepa que debe destruirlos. El segundo es que ¡no hay destructoras de papel! Buscamos y buscamos en los pasillos de la empresa y no hallamos uno. “Creo que vi uno en Legal, pero no sé si sigue ahí”, nos dice un colega. 

La existencia de estos aparatos empieza a sonar como leyenda urbana; muchos dicen haberlos visto pero no hay uno a la vista. Así es que acabamos interrumpiendo nuestra búsqueda abruptamente y prefiriendo tomar al toro por los cuernos. “Lo haré yo, usando las manos lo trituraré y es el mismo efecto que la dichosa máquina esa”.

Pero pocas veces tenemos el cuidado necesario para realmente romper esos papeles sensibles en partes que realmente no sean recuperables. Así es que la mayoría de las veces rompemos los papeles un par de veces con las manos y listo, ya están destruidos y a la basura. 

Pero tal vez en este punto estén pensando: “¿Momento, por qué tanto lío por papeles que van a la basura? ¿Qué loco va a estar hurgando en mi basura?” Pues al perecer sí hay locos. Los hay tantos que en inglés hasta existe un término: “dumpster diving”. 

Bucear en la basura es un método efectivo para encontrar oro en la forma de papeles impresos. ¿O suponemos que nuestra corporación maneja información tan poco importante que nadie va a echarse un clavado a la basura en busca de datos útiles para un fin malicioso? Reflexionemos dos veces la respuesta.

Por lo tanto parece no ser suficiente romper documentos a mano limpia. Inclusive cuando uno lo hace usando un aparato que hace “tiras” cada papel arrojado, no hay seguridad de que sea irrecuperable. 

¿No me creen? Busquen en internet “recover shredded paper” o “Unshredder”. Se sorprenderán de lo que encontrarán. Por ejemplo software que ayuda a un actor malicioso a escanear el papel destruido y trata de hacer sentido reconstruyendo cada pedazo de papel aparentemente desconectado del resto. 

Y es que bueno, cuando uno hace tiras una hoja, pues el contenido sigue estando ahí revuelto entre otras tiras de papel, así es que basta paciencia para armar el rompecabezas con curitas y poder volver a tener acceso a la preciada información. 

No por algo en las películas cuando el enemigo va a tomar una embajada, empieza a salir humo de los papeles quemados. Porque no los hacen tiras.

Destruir los documentos a través de “confeti” es más efectivo, pero como siempre, si ni siquiera hay una cultura de destruir papeles en la corporación, de nada sirve el último aparatito de moda o que haya el rumor de que existe uno en “Legal”. 


Así es que a revisar la política de destrucción de papel en la empresa y ver cómo se está implementando para determinar si hay cultura de eliminación de documentos, si hay suficientes aparatos y si realmente sirven para su propósito.

Watering Holes

Todos hemos visto el canal “Animal Planet” donde no solo hay videos de perros y gatos divertidos, sino que también y principalmente, documentales sobre animales. Mis favoritos son en donde los protagonistas son los leones…felinos fascinantes! En fin, en uno de estos episodios explicaron algunas de las técnicas de caza de estos depredadores y una llamó mi atención. Era época de sequía y no había muchos lugares para que los animales pudieran beber agua, así es que lo leones implementaron un plan inteligente. 

En lugar de ir detrás de manadas de búfalos y demás víctimas, decidieron aguardar alrededor de un abrevadero. Ahí encontraron sombra de la vegetación que crece cerca de esos lugares y obvio, agua a disposición. Faltaba la comida. El plan era que esta vez no tenían que salir a buscarla por todas partes porque ¡la comida llegaba a ellos!

Los animales, en su búsqueda del vital líquido, llegaban por docenas al abrevadero. No tenían muchas opciones si no deseaban morir de sed. Así es que en el momento menos pensado mientras tranquilamente bebían, de pronto salía un grupo de leonas estratégicamente posicionadas para al menos abatir a una presa. 

Gran plan. 

Y con poco esfuerzo lograban su cometido en diversas ocasiones, hasta cierto punto de manera “fácil”. Probablemente desde hace cientos o miles de años los depredadores ejecutan esta técnica de caza. Nació el ataque “watering hole”.

Los atacantes cibernéticos ya han estado usando esta manera de cazar por varios años. Claro, no andan en búsqueda de búfalos ni cebras, sino de víctimas informáticas. ¿Cómo funciona su ataque?
Empecemos por al abrevadero a donde las víctimas deben de ir por algo que necesitan. En este caso es un sitio web válido. Por ejemplo, el depredador desea cazar a personas relacionadas con la seguridad física. 

Entonces infecta un sitio web de venta de armas, o uniformes o de normatividad relacionada a ese ramo. Sabe que sus víctimas irán a visitar tarde o temprano este tipo de sitios válidos porque necesitan conseguir información o hacer una compra.

O por ejemplo si el atacante desea “conseguir” doctores, infecta un sitio legítimo relacionado a medicamentos, conferencias médicas o nuevos estudios clínicos. Sabe que los doctores irán a estos sitios porque es parte de sus funciones. 

Necesitan ir al abrevadero. Una vez que la computadora del doctor visita el sitio web legítimo pero comprometido, a su computadora le llega un virus que infecta al equipo de cómputo. El doctor ahora y sin saberlo, bajó una infección informática a su equipo de cómputo que fue cazado por el depredador. 

Ahora el sistema no solo es usado por el médico, sino también por “el león” que hace y deshace a placer. Roba información del galeno. O tal vez haga que el sistema comprometido envíe correos tipo “spam”. También el objetivo puede ser conocer el avance de un estudio médico de vanguardia para un fin malicioso. 

La computadora está en poder del atacante. Está a su disposición.
El ataque “watering hole” no involucró ir a buscar a las víctimas. Ellas solas fueron por necesidad a visitar la página web legítima sin necesidad de que el atacante las forzara, no tuvo que hace uso de otras técnicas más tardadas y tal vez menos efectivas. 

Este tipo de ataque funciona muy bien cuando el agente malicioso quiere ir contra computadoras de cierto grupo de personas. Gente de seguridad física, ingenieros civiles, investigadores académicos o diseñadores automotrices.

Es un ataque difícil de prevenir porque el hacker arremete contra sitios web válidos con los cuales la gente trabaja y no es posible simplemente cortarles la comunicación. Inclusive en ocasiones la comunicación hacia esos sitios legítimos tiene una seguridad informática relajada porque, bueno, después de todo son sitios web genuinos de los cuales nadie sospecharía. Todos asumimos que esas páginas web son seguras. Que no nos enviarán un virus porque confiamos en ellas.


-->
Es un abrevadero seguro. Tiene lo que necesitamos. Hay vegetación alrededor de él que nos da confianza y paz, además se ve muy tranquilo y ningún depredador tendría la osadía de estar espiándonos y buscando el momento justo para ir detrás de nosotros. Piénsenlo la próxima vez que visiten su sitio web preferido y de confianza.

martes, 3 de enero de 2017

La importancia de las políticas de seguridad de la información


¿Qué es una política de seguridad de la información? Son lineamientos que reflejan la postura de una organización ante la necesidad de proteger su información. La política establecerá de manera general qué deben hacer los empleados y qué no, para preservar la confidencialidad, integridad y disponibilidad de los activos de información.



¿Debe de haber contraseñas para acceder a las computadoras? ¿Un usuario puede desinstalar un antivirus? ¿Un administrador de sistemas puede realizar un cambio en la configuración de un servidor sin avisar a nadie? Esta es la serie de temas que bien podría abordar la política para que quedaran claros los lineamientos que rigen la seguridad de la información en una empresa.

Sabemos ya qué es una política. ¿Pero quién la necesita? La respuesta es fácil. Todas las organizaciones. Es como preguntar qué país necesita leyes. Tal vez unos tengan leyes muy amplias, otros las tendrán muy generales pero es un hecho que habrá algún tipo de ley. Lo mismo pasa con la política de seguridad de la información.

Idealmente esta política debe de formalizarse, vigilar que se siga y sancionarse si no la cumplimos. La primera parte de “formalización” es para que no sea un papel sin valor o un pliego de buenos deseos que ojalá alguien cumpla.
De alguna manera hay que ver que tenga esa fuerza y cada organización tendrá sus mecanismos para formalizarla. La segunda parte referente a que “vigilemos que se siga” es donde debe de haber alguien que verifique su seguimiento.
Es como el reglamento de tránsito: una parte es que exista el documento y que sea formal, y otra parte es que haya agentes de tránsito vigilando su cumplimiento. La última parte de sancionarse es obvia y es cuando la patrulla levanta una infracción a un conductor que no respetó la luz roja del semáforo.

La política es importante para tener lo que comúnmente se llama “las reglas del juego”. Así habrá un orden y dirección. Los empleados deben seguirla para evitar que la Alta Dirección deje este asunto de seguridad de la información al criterio particular de cada persona.

Y si bien una política es importante, también podemos caer en errores al implementarla, por ejemplo:

  • ¿Debe llamarse política de seguridad de la información? El nombre de este documento es lo de menos. Lo importante es el espíritu de la política. Pueden llamarle “lineamiento”, “norma” o “pautas”, siempre y cuando contenga las “reglas del juego”.
  • ¿Debe de ser un solo documento? No nos equivoquemos buscando un solo documento maestro que aglutine todas las reglas de la política. Estas reglas bien pueden estar dispersas en diversos documentos con diferentes nombres. De nueva cuenta, lo de menos es tener un solo documento o doce: lo importantes es el espíritu de la política, difundirla y seguirla.
  • ¿Debemos de llenarnos de reglas? Imagino una política kilométrica, con todo tipo de lineamientos a seguir para miles de actividades de todo tipo. A eso le llamaríamos sobre-regulación y el primer problema que enfrentaría una política así sería tener tiempo para si quiera leerla.
  • ¿Debe de ser específica? La política tiene generalidades, no pormenores. Para aquellos asuntos que valga la pena tratarse al detalle, deberán existir otros mecanismos que describan el procedimiento o actividad específica y sí, siempre alineado a la política general.

En conclusión, si no hay reglas, regirá el caos. Cada quién hará lo que crea que es correcto con argumentos propios de por qué si debería o no debería de hacerse esto o aquello y la protección de la información quedará a la deriva.
La importancia de la política radica precisamente en eso: en poner orden, en generar lineamientos orientados a la protección de uno de los activos más importantes que es la información que manejan las organizaciones.