Os copio un gran artículo del amigo y colega Lorenzo Martínez, gran
analista forense con reconocimiento internacional, en el que reflexiona sobre
la necesidad de tomarse más en serio la seguridad de la información por las
implicaciones directas que tienen en nuestra línea de negocio. New Vision
Softlan tiene claro y mantiene una política, desde hace ya 15 años, de
máxima importancia a la seguridad de la información, protección de los activos
informáticos y formación del personal de las empresas. Es por ello que
suministramos soluciones de auditoría, control y alertas preventivas y
correctivas tanto en elementos perimetrales, control de los repositorios de
información, control de fugas de información, protección de sistemas Wireless,
monitorización de sistemas y un largo etc…así como servicios de consultoría y
auditoría de seguridad informática y pentesting, tal y como podéis
comprobar en nuestra web http://www.newvisionsoftlan.com.
Sin más os dejo con esta interesante reflexión.
Si no te esfuerzas
en proteger tus sistemas constantemente ¿por qué te quejas cuando comprometen
tu seguridad?
Quejarse está en el ser humano. Cuando
llueve, porque llueve; cuando hace calor, porque hace calor. Cuando gana el
Madrid porque no pierde el Barça, y viceversa. Pero la cosa es quejarse. Sin
embargo, no en todas las ocasiones pensamos qué podemos hacer para cambiar o
mejorar las causas de nuestras quejas. Cierto es que no todas las cosas están
bajo nuestro control o alcance, pero podemos hacer mucho empezando por nuestro
entorno.
En el mundo de la seguridad, pasa lo
mismo. Nos quejamos de los daños causados por otros, pero: ¿qué hemos hecho
para prevenirlo?
Todos los sistemas son susceptibles de
ser atacados. La seguridad de los datos contenidos, es objetivo de mafias,
rivales o espionaje industrial, entre otras amenazas, que desean hacer dinero
gracias al valor de nuestra información. Ya sea robándola para usarla en su
beneficio, como cifrándola para pedirnos un rescate a cambio, o para aprovechar
el poder y la conectividad a Internet de las máquinas que la almacenan para
enviar spam, minar bitcoins, albergar pornografía o malware, o simplemente
servir de pivote desde el que cometer cibervandalismos a través de Internet, y
que los dedos nos apunten a nosotros.
Recordando la pregunta planteada: ¿qué
hemos hecho para evitarlo?
Pensamos que cuando conectamos una
máquina que da un servicio a Internet, el sistema operativo ya es seguro por el
mero hecho de actualizar los parches y ponerle un “antivirus”. Parece que el
objetivo de Steve Jobs, en el que un usuario desempaqueta un producto Apple,
que lo enchufas y ya funciona, es el mensaje que los trabajadores de
departamentos de sistemas y de desarrollo, dejando para después el trabajo de
la securización de dichos sistemas.
Si me dieran un euro cada vez que me he
sentado delante de algunos clientes que me han dicho "¿Y qué más da si me
hacen un defacement? ¿Qué más da que pase algo si tenemos backup de todo?” ya
me habría jubilado siendo millonario.
Que levante la mano quien no haya oído
que le dicen…. "Además, ya nos hicieron una auditoría muy completa hace 6
meses y nos dieron que estaba todo bien”. Claro,… y desde hace 6 meses hasta
ahora, ¿no ha cambiado nada?
La lucha contra los ataques que llegan
día a día, no es algo estático.
Las medidas y las mejoras en la
seguridad tienen que implantarse de manera continua.
"Pruebas de denegación de servicio
no me hagáis y las que hagáis en horario que no sea de máxima producción” Aha,
claro… ¿y dices que quien te venga a atacar va a ser tan considerado como
nosotros preguntando qué pruebas puede y cuáles no puede hacer, y cuándo puede
hacerlas?
Funcionamos con multas
Está claro que basta con que un radar
nos haga una foto y nos quite peso del bolsillo, para que tengamos precaución
con el acelerador en la siguiente. Cuando hay una normativa que exige que
apliquemos ciertas medidas de seguridad, nos preocupamos un poco más. En
general, se hace por cumplir, no por la conciencia de la seguridad en sí. Es
decir, que subestimamos una vez más lo que puede pasar. Entonces es cuando,
para cumplir la checklist, subcontratamos el servicio a “una empresa
especializada”.
Aquí llega cuando los departamentos de
compras se ponen medallas por conseguir “apretarle” al proveedor de confianza
en base a conseguir un precio más bajo en la realización de los servicios de
sistemas y seguridad. Obviamente, si se ha logrado que una empresa tenga que
hacer un servicio perdiendo dinero, enviará al recurso más barato que tenga… o
aplicará un esfuerzo proporcional al pago recibido. Obviamente, esto redundará
en el resultado final, es decir, en que la seguridad volverá a ser quien pague
el pato.
Como me decía un señor con el que tuve
que firmar un contrato hace poco, y al que hacía alusión por incluir por
escrito ciertas cláusulas: “Creer algo, está bien pero controlarlo está mejor”
Si crees que con una auditoría cada 6 meses es suficiente, perfecto. Pero si
aceptas un consejo, toma medidas para que la tuya, no sea la próxima base de
datos que aparece en Pastebin.
Y ya que estamos citando a los famosos,
no nos sonará nueva la que dice que "la mejor defensa es un buen ataque”,
aunque también es famosa si intercambiamos los sustantivos quedando como “el
mejor ataque es una buena defensa"
0 comentarios:
Publicar un comentario