El deporte favorito de algunos expertos
en seguridad es levantar la voz en contra de esos infames usuarios. “Son el
eslabón más débil de cualquier organización”. “Es que no tienen ni idea de que
ponen en riesgo a la información” (favor de agregar tono de voz desesperada).
Desde hace tiempo abundan ejemplos de este deporte por
despreciar la poca cultura en seguridad informática de los empleados
corporativos: “Es que ni con campañas de security
awareness entienden”.
Ahora bien, lo curioso es que cuando
volteas a ver las infraestructuras informáticas de estos Señores de la
Seguridad te das cuenta de que tienen más hoyos que un queso gruyere.
Sistemas operativos sin tener sus
parches al día o aplicaciones desactualizadas y vulnerables. Eso sí, con
antivirus (y tal vez no todos actualizados) pero sin listas blancas/firewall
personal. Uso de protocolos inseguros “porque todavía no se pueden quitar”.
Páginas web que dan la bienvenida a los SQL
injection.
Me extraña que se quejen de lo
descuidados que son los usuarios cuando ellos mismos no tienen las TI robustas
y al día. “Es que mis usuarios le dan click
a cuanta cosa les llega y *claro*… ya les cayó el exploit”. Ok dude, pero
ese ataque en principio fue posible porque TÚ dejaste al Adobe Reader sin
parchar, cierto?
Si bien puedes engañar al usuario para
que te dé su contraseña por teléfono y ahí sí no es un problema informático, lo
cierto es que muchos otros ataques son posibles en principio porque la
infraestructura de TI tiene huecos…y ese no es el trabajo de los usuarios sino
de los Señores de la Seguridad de la Información.
“Comprometieron el equipo de este wey y
de ahí se metieron al servidor corporativo para sacar los números de tarjetas
de crédito de nuestros clientes”. Cuando le preguntamos: “Oye, y el equipo del
usuario necesitaba tener conectividad con el servidor corporativo??”. “Errr,
bueeeeno. Pues no. Pero es que ÉL ejecutó el attachment cuando claramente debería de saber que es un riesgo…si
hasta está en nuestra política de seguridad en la página 876”. “Ah! Mira. Pues
qué te parece si hacemos un proyecto para restringir el acceso a los servidores
para que no desde cualquier equipo se pueda acceder a ellos. Se puede hacer un
filtrado por dirección IP y puerto”. “Aschhh, es que es muuucho trabajo. Mejor
educar a los usuarios. Son la base de la seguridad ya que bla, bla, bla”.
No me malentiendan. Los usuarios son
parte importante de la estrategia de seguridad dentro de las empresas y
ciertamente muchas veces participan activamente para que un ataque se concrete
(como por ejemplo en casos de APT). Mi punto es que no debes criticarlos
cuando uno mismo no hace lo suficiente por su infraestructura.
En fin. Si conocen a un Señor de la
Seguridad que se queje amargamente de lo incivilizados que son sus usuarios en
cuestiones de seguridad, por favor acérquenle este pequeño artículo. Seguro me
dirá que estoy mal…y saben? Me encanta estar mal.
No hay comentarios:
Publicar un comentario