Opinión; Empresas, datos e inseguridad informática

panic.gifSolo quería dar mi punto de vista sobre el tratamiento de los datos y la gestión e implantación de las políticas de seguridad en pequeñas y medianas empresas. Lamentáblemente, para muchos empresarios, el concepto de seguridad se resume a que en cada puesto esté corriendo un antivirus…

La seguridad no vende, incomoda y es algo mucho más intangible que por ejemplo, ampliar la velocidad de conexión a la red o mejorar el contrato actual con un operador de telefonía móvil

La seguridad de los datos que se almacenan, a veces se suele resumir a destruir papel, hacer los backups pertinentes en el Windows 2000 server de turno y como mucho, un triste antivirus instalado en cada máquina como os decía antes.

Entre que normalmente el empresario quiere pagar poco y el servicio técnico hace lo que puede para ajustar costes, al final, unos por otros la casa sin barrer. La empresa tiene un problema, va a precio, el que lo repara baja los costes, tiene un contrato de mantenimiento muchas veces cogido «con alfileres» y no quiere perder a su cliente ¿Qué hace? le lleva el «maldito» ratón que no acaba de ir bien y punto…

¿Y la seguridad? ¿Eso què es? la seguridad informática es un concepto mucho más global que las medidas «locales» que se suelen adoptar, el «mea culpa» lo deberían entonar tanto unos como otros, la empresa por querer ahorrar a costa de lo que sea y quien lleve el mantenimiento por no saber asesorar a veces a su cliente o por miedo a perderlo si se sale del rol establecido. Se que suena muy tajante pero voy a tratar de daros alguna pista y ejemplos.

Entiendo que no todo el mundo lo hace mal, pero hablo de una gran mayoría, conozco casos muy a fondo y sobre todo los mayores problemas vienen en las Intranets corporativas de a veces no tan pequeñas empresas. No voy a hablar de espionaje industrial que existe y telemáticamente se practica más a menudo de lo que nos imaginamos. Un ejemplo, red interna de 30 equipos, conectada a su vez a Internet por la conexión que ofrece la propia Intranet corporativa, alguno se podría sorprender de la cantidad de información confidencial que se puede levantar por medio de todo un clásico, Netbios ¿Creéis que exagero? se de lo que hablo. Me vale eso como que a un router Cisco le dejen por defecto «user admin password admin» ¿?

Estas cosas pasan y no me las han contado, lo he visto. Otro caso, la empresa demanda un sistema de mensajería instantánea para los 30 equipos, no quieren saturar el teléfono y el servicio técnico tiene la brillante idea de instalar un programa como por ejemplo el Network Assistant.

Casi me caigo al suelo cuando veo que dicho programa entre otras funciones permite ver los procesos en máquinas ajenas, texto en el portapapeles y…LA PANTALLA ACTIVA DEL ORDENADOR AJENO. Si, un supertroyano y encima a golpe de ratón. Cuatro cliks y dentro, alucinante, el programa te permite hacerte administrador localmente en cada puesto pero con efecto global. Osea, tu controlas y te controlan, había un modo de pararlo que impedía ese ataque a la privacidad pero…era más sencillo instalar el programa y punto. Lo que estoy diciendo es algo fuerte porque no quiero pensar en el típico «insider» que controla o se molesta en ver las típicas opciones del soft viendo lo que leen o escriben sus compañeros, en gerencia o administración.

¿Quien tiene ahí la culpa?

O un AS400 donde se lleva toda la contabilidad, datos de clientes etc con alguien que tiene acceso y que la autentificación se basa en «user Sara» – «password Sara» y donde puedes entrar por telnet previo escaneo a un rango de ips para identificar puestos y servicios corriendo…

Claro, luego el problema es que el trabajador se baja mucha porquería de Internet o que navega por donde no debe navegar y por culpa de eso entra un virus aquí o allá y todo al garete. Y voy yo y me lo creo, aplicaciones corporativas donde solo se puede entrar con Explorer, sistemas arcaicos, ilógicos e inseguros y programas «A medida» que no se actualizan porque el programador «pide mucha pasta» por el update.

Me gustaría saber cuantas empresas forman realmente a los trabajadores en lugar de censurar, cuantas les dicen como ayudar a que los entornos de trabajo y con ello los datos estén a salvo. Como mucho activan el firewall del router pensando que estarán a salvo sin pensar en que los problemas vienen normalmente de un puesto en la red comprometido o susceptible de serlo. De la misma forma que piensan que para cumplir con la ley de prevención de riesgos laborales con dar un folleto explicativo vale, algún iluminado cree que por decir a un empleado «ten cuidado con lo que te bajas de Internet que entran virus», soluciona sus problemas informáticos.

A la gente que lleve el mantenimiento que no tenga miedo a plantear cambios, políticas de restricción de permisos reales al estilo de Unix (aunque eso es impensable en equipos Windows hablando de servers y que me perdonen), pensar en cada elemento de la red interna como un «todo», aconsejar el uso de programas alternativos a los típicos y comerciales que a veces son innecesarios e inseguros, no quiero ni pensar en cuantas empresas se arreglarían con un Open Oficce, al fin y al cabo, ese programa solo se usa como visor de las típicas presentaciones en Power Point que manda el Spammer casero de turno. El uso de navegadores como Firefox, la sustitución de programas como el Outlook, MS Oficce etc, charlas formativas, ayudar a evitar el «miedo al cambio», políticas de contraseñas fuertes, con cambios frecuentes, no sensibles a ataques por diccionario, firewalls bien implementados etc etc etc.

Lo se, alguno me dirá que no se puede cambiar de sistema operativo porque usan ciertos programas, me parece muy bien, soy realista pero con cambiar alguna de las aplicaciones que enumero a grosso modo en el párrafo de arriba, el 40% de los riesgos potenciales de seguridad quedarían cubiertos.

Pero claro, eso cuesta tiempo, imaginación y sobre todo dinero, eso si, luego que no se lamenten. Efectivamente es más fácil pedir precio para cambiar de una vez ese lector de CD ROM que ni siquiera graba no vaya a ser que un empleado «gaste» más lector laser de la cuenta…

También me pongo en el lugar de alguien que ha estudiado informática / redes y accede al mundo laboral y le dice al cliente – «mire, puedo implantar el servidor DNS así como la gestión del router para dar entrada-salida a los equipos a la Intranet-Extranet en un servidor Linux que de acceso a equipos Windows o porqué no decirlo Mac y el coste será menor así como el riesgo para su empresa etc etc y que sucederá…

Yo ya se lo que sucederá en el 90 % de los casos porque está todo relacionado. Al final volvemos a lo mismo, las opciones, las alternativas. Que me perdonen si no defiendo a Windows, creo que estoy libre de sospecha porque en Daboweb, entre otros sistemas operativos, damos el mejor soporte que podemos a usuarios de Windows, yo defiendo mi opción, me toca estar en la minoría y a veces entre gente (no generalizo) que piensa que soy un Freak por usar Linux y un snob por tener un iBook blanco que cuesta menos que un portatil centrino en el que además de OS X tengo un Ubuntu instalado. Me da igual lo que piensen cuando digo que bajo el entorno gráfico que uso, un sólido núcleo Unix se encarga de gestionarlo todo. Estoy en esa minoría que cuando dice «correr un demonio» alguno piensa que voy a decir un taco -:), pero entender que tengo que defenderlas, Windows no lo necesita, de cada 100 veces que enciendes un equipo nuevo, unas 95 te encontrarás con su pantalla azul de bienvenida.

¿Qué tiene esto que ver? Seguridad informática = más cosas que el Norton Internet Security de rigor…

Dabo

iptables rules -:)

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • goldfinger

    Completamente de acuerdo.

  • Kids

    Muy acertada reflexión. Si hasta se puede descargar música usando el WiFi de la SGAE… a dónde vamos a parar ;-)

  • Pingback:

    meneame.net
  • dabo

    Hola, me gustaría que vieséis el comentario que ha hecho Maty en el «meneo» que le ha metido al artículo

    http://meneame.net/story.php?id=5577

    Creo que dentro de unos años, lamentablemente podremos estar hablando de lo mismo y únicamente me baso en que si no aparecen alternativas y se deja paso a otro tipo de soluciones / plafaformas / SO , el método de funcionamiento no distará mucho del actual.

    Saludos -:)

  • lur

    Lo que dices es cierto en la mayoría de los casos. Las actuales directivas poco saben (o no quieren saber) sobre problemas de seguridad. Mucho guarda jurado, cámaras, etc. y el mangante de turno calentito desde casa haciendo un agujero de flipar.

    No olvidemos que el mayor activo de una empresa es el know how y, gracias a la implantación de normas ISO y otros certificados, estos procesos, conocimientos etc. están escritos en unas fantásticas hojas de word y guardadas en un disco duro al que puede acceder cualquiera que tenga unos conocimientos de informática.

    Porque de costes, precios, salarios y demás información privilegiada ni hablamos, ¿no?

    Eso sí, que no me roben 20.000 euros que tengo en la caja fuerte…si el valor de la información se pudiera cuantificar, algunos espabilarían rápido.

  • Doctor_Zoidberg

    Y yo que tengo XP.. y me da bastante peste…

    Tendre que meterle MAC OS otra vez… :D, la putada es que no me iba la wifi…, ni me iba el audio, por lo demas iba de coña…

    Y sobre unix,, pos no tengo ni puñetera idea de como funciona, me he criado con microchof, desde el msdos 4.2… :D

  • dabo

    Lur, tienes mucha razón, me hace gracia como se llenan la boca con ISO, AENOR etc etc y al final es eso, solo un papel, en la practica todo es una pose de cara al exterior, vender imagen a los clientes en base a una certificación que es muy vistosa pero que…

    Doctor, no te creas, no es un tema de usar XP o no sino de usar lo que se use con cierto sentido común, solo reivindico que haya un poco de mentalidad abierta y que el empresario abra un poco los ojos y que quien implante o mantenga los sistemas ajenos que no se quede estancado por lo «establecido» y a los usuarios o simples currantes como yo que a nuestra manera intentemos provocar algún cambio

  • klondike

    Hablo como hijo de catedrático del poli y digo que han implantado Linux (SUSE) como alternativa al windows.

    Si no es tan dificil

  • Liamngls

    Yo me quedo con el último comentario del boss … lo importante no es lo que usas si no como lo usas.

    Que hay alternativas más seguras ? Pues sí , pero eso no quita que con un poco de sentido común y una buena dosis de preocupación te puedas evitar muchos problemas :-)

  • klondike

    No te lo niego liam

  • Doctor_Zoidberg

    Lo del sentido comun, es lo mas importante a mi entender.

    Seguramente mi equipo sera un enooorme colador, ya que tampoco tengo nada importante que puedan sustraerme, los documentos y demas estan en discos externos que solo se conectan cuando son necesarios, y se trabaja con ellos cuando el ordenador esta desconectado (basta con desactivar la WiFi). Por ello, ni tengo un antivirus instalado, ni el firewall de windows hace nada. Lo unico que utilizo es el router, capado de puertos, y un antispyware (addware).

    Llevo asi hace un par de años, y no he tenido ningun problema, me dio mas quebraderos desinstalar el maldito norton antivirus que trabajar a pelo… y encima ahorro memoria y tiempo de procesador :D.

    Eso si, en referencia a lo del sentido comun, jamas abro un correo que no haya solicitado o del que no haya tenido aviso previo, y ante la duda, pregunto al que lo envia.

    Tampoco me lio a visitar paginas del tipo «www.juankers.net», en otro tiempo pude comprobar que son una buena fuente de problemas y regalitos :)

  • dabo

    Si Doctor, estoy de acuerdo en que tu como usuario puede que más o menos estés cubierto o mejor o peor pero imagínate en una empresa, 30 users y una red…

    alli pasa de todo no digo que «puede pasar» sino que realmente sucede, el tema es que falta un poco de concienciación de que los datos valen y mucho dinero y es que algunos crakean por gusto, otros por joder y otros por dinero…

  • ladyblues

    Creo que hay demasiado relax en cuanto al tema de seguridad y luego demasiadas quejas y poca honestidad para reconocer que es normal que haya problemas cuando no haces mucho por evitarlos.

    Tengo dos amigos expertos en seguridad informática que han estado en «empresones» y cuando llegaron a sus nuevos y flamantes puestos de trabajo no daban crédito a la falta de cuidado que había en semejantes lugares y os hablo de periódicos y de multinacionales…

    Luego vienen las quejas y el «culpable de turno».

    En fin, y así seguirá la cosa.

    Saludos.
    Mabel

  • Belinda

    Yo no bajo la guardia … no tengo una empresa pero si una red casera y siempre debo estar pendiente de lo que ocurre en el otro pc en cuanto a seguridad y eso que no tengo nada importante comparado con otros ,pero así la mentalizo a lo que hoy en día es más primordial…la seguridad.

    Gracias por compartir vuestras opiniones y así una hacerse a la idea de las opciones a tomar en cuenta o que se nos escapan sin enterarnos….

    Chaito…

  • klondike

    De todas formas, siemre está el cabrón que te mete un virus en la red, en mi caso, mi hermano, por mucho que la protejas.

  • dabo

    Un saludo desde aquí a todos los colegas de faq-mac , acaban de publicar el artículo

    http://www.faq-mac.com/mt/archives/015952.php

    -:)

  • Jony

    Qué tal compañero. Soy el miticu Zope.
    Muy interesante el blog, lo sigo de vez en cuando y creo que hay un gran trabajo. Mi más sincera enorabuena.
    Supongo que no te estrañará tanto que de mi humilde opinión sobre un tema como el que ahora nos toca: gestión de la seguridad de la información.

    Si bien, buena parte de las reflexiones más arriba indicadas estan bien enfocadas, me gustaría discutir algunas de ellas o al menos, dar mi opinión.

    Seguridad es un termino que los informáticos constantemente desvirtuando en el sentido de que solo hacemos hincapie en los aspectos que más nos intersan y nos motivan. Como por ejemplo la seguridad lógica. Estoy de acuerdo en que, por norma general, el empresariado no se toma muy en serio algo tan importante y básico como es la protección de sus activos de información.
    Más importante de si pongo un antivirus, un firewall o si quito el windoce es la gestión. Se entiende como sistema de gestión de sistemas de la información, a un serie de aspectos entre los cuales se encuentran incluidos los físicos y lógicos. Pero más importantes que estos últimos son las políticas, los procedimientos, los registros que evidencian el cumplimiento o conformidad de las políticas establecidas (y no me refiero solo a los logs), etc, etc Todo este rollo, es muy necesario ya que es imposible ponernos a proteger sistemas sin haber hecho antes un inventario de activos de información. Es decir, para poder establecer una serie de contramedidas de protección de un activos, necesitamos saber el valor de ese activo para posteriormente invertir en concordancia. Sobre, tener siempre claro, que debemos asumir un riesgo. Y ese riesgo van en función directa a la pasta que se quiera invertir. Un ejemplo: Si mañana se estrella un 747 justo en el edificio que está mi CPD que hago?? Pues obviamente, por mucho firewall que tenga poco puedo hacer.. y queramos o no se destruiria todom, quedando por tanto dañada de forma irreparable la Integridad de los datos (no olvidemos que seguridad de la información se refiere a preservar su Integridad, Confidencialidad y Disponibilidad). En este ejemplo tan sencillo, con una simple medida de gestión que sería llevarse las copias de seguridad diariamente a casa, se hubiese minimizado el impacto de la catastrofe.
    Se trata de reducir el riesgo a un umbral aceptable por la organización (entiendo como riesgo la probabilidad de que una amenaza explote una vulnerabilidad), y esto la mayoría de las veces solo se soluciona con medidas de gestión. En el anterior ejemplo, si mi empresa puede meter el CPD en un bunquer, es posible que el impacto de un 747 no le afecte. Esta sería una media de tipo paliativo. Hay otro tipo de medidas, como pueden ser las preventivas, que en este caso lo que hariamos sería tener sincronizado el CPD con otro secundario a 30 Km de distancia (los bancos suelen hacer esto).
    Lo que quiero dar a entender es que la manera en que gestionemos la seguridad es lo más importante. Por eso me parece poco afortunado tu comentario sobre AENOR. Primero porque AENOR no es la responsable de la norma ISO17799:2000 sino de la UNE71502 que es la certificable. Segundo porque la 17799 es una de las metodologías sobre gestión de seguridad de la información más respetables y elegida por la practica totalidad de las empresas multinacionales, que digo yo, que algo más que nosotros sabrán. Y tercero, la citada norma no es la única, tienes MAGERIC utilizada por la gran mayoría de las administraciones o PECAL utilzada en el sector militar.
    Estoy hablando de sistemas de gestión muy perfecionados y probados, si alguien quiere hacer un propio sistema de gestión… pues perfecto, pero que no sea porque no existen metodologías.

    xDDDD Alguna opinión al respecto?

  • dabo

    Hola Jony, que bueno leerte por aquí, lo primero por partes

    Cuando dices que te parece poco afortunado mi comentario sobre Aenor

    «Lur, tienes mucha razón, me hace gracia como se llenan la boca con ISO, AENOR etc etc y al final es eso, solo un papel, en la practica todo es una pose de cara al exterior, vender imagen a los clientes en base a una certificación que es muy vistosa pero que…»

    No lo entiendo Bro, estaba hablando de una certificación Aenor o ISO, indiferentemente y no solo a nivel de seguridad sino la el típico mural de estatuillas, diplomas etc etc -:)

    Tanto Mageric como Pecal son sistemas de gestión que son practicamente imposibles de vender en el ámbito de empresas que estoy citando, pequeñas y medianas empresas con 20 o 30 trabajadores, la mayor parte de las veces lo que ven es el coste «en bruto» sin mirar tanto en los beneficios a medio y largo plazo.

    Lo vuelvo a decir, la seguridad no vende, sea al nivel que sea y muchas veces la implantación de un sistema de gestión o implantación de la seguridad se rompe por el eslabon más debil de la cadena, un trabajador con una formación inadecuada puede mandar al carajo una labor de tiempo.

    Lo triste es que si, tu vas con todo un paquete de soluciones ad hoc super bien planteado y la mayor parte de las veces que es lo que se valora???

    Los costes.

    Eso si, dile a un gerente de una Pyme que para toda la empresa le cambias los móviles a unos de última generación con cámaras de 2 mpx, vídeo etc etc y verás que cara pone…

    Si Jony, lo «tangible» funciona, lo «previsible» no tanto….

    Un abrazote para ti y tambien para David -:)

  • Jony

    Qué tal bixoo…
    Veo que acercamos posturas ;-) Tal vez malentendí tu comentario sobre AENOR…
    En cuanto a lo de los costes, tienes toda la razón. Es un tema que conozco de primera mano como ya sabes. De hecho cuando decía más arriba;
    «..para poder establecer una serie de contramedidas de protección de un activos, necesitamos saber el valor de ese activo para posteriormente invertir en concordancia..»
    y
    «Se trata de reducir el riesgo a un umbral aceptable por la organización»
    me estaba refiriendo a esto mismo que acabas de matizar.
    Es importante saber el coste económico que podemos asumir, de ahí hacía abajo estaremos cubiertos y de ahí hací arriba asumimos lo que se llama un coste de inseguridad.

    Bueno nenu, espero verte pronto y charlar de esto que tanto nos pone :-)

    Un abrazo.

Comentarios cerrados.