miércoles, 10 de junio de 2015

Si no te esfuerzas en proteger tus sistemas constantemente ¿por qué te quejas cuando comprometen tu seguridad?

Os copio un gran artículo del amigo y colega Lorenzo Martínez, gran analista forense con reconocimiento internacional, en el que reflexiona sobre la necesidad de tomarse más en serio la seguridad de la información por las implicaciones directas que tienen en nuestra línea de negocio. New Vision Softlan tiene claro y mantiene una política, desde hace ya 15 años, de máxima importancia a la seguridad de la información, protección de los activos informáticos y formación del personal de las empresas. Es por ello que suministramos soluciones de auditoría, control y alertas preventivas y correctivas tanto en elementos perimetrales, control de los repositorios de información, control de fugas de información, protección de sistemas Wireless, monitorización de sistemas y un largo etc…así como servicios de consultoría y auditoría de seguridad informática y pentesting,  tal y como podéis comprobar en nuestra web http://www.newvisionsoftlan.com. Sin más os dejo con esta interesante reflexión.

Si no te esfuerzas en proteger tus sistemas constantemente ¿por qué te quejas cuando comprometen tu seguridad?

Quejarse está en el ser humano. Cuando llueve, porque llueve; cuando hace calor, porque hace calor. Cuando gana el Madrid porque no pierde el Barça, y viceversa. Pero la cosa es quejarse. Sin embargo, no en todas las ocasiones pensamos qué podemos hacer para cambiar o mejorar las causas de nuestras quejas. Cierto es que no todas las cosas están bajo nuestro control o alcance, pero podemos hacer mucho empezando por nuestro entorno.
En el mundo de la seguridad, pasa lo mismo. Nos quejamos de los daños causados por otros, pero: ¿qué hemos hecho para prevenirlo?
Todos los sistemas son susceptibles de ser atacados. La seguridad de los datos contenidos, es objetivo de mafias, rivales o espionaje industrial, entre otras amenazas, que desean hacer dinero gracias al valor de nuestra información. Ya sea robándola para usarla en su beneficio, como cifrándola para pedirnos un rescate a cambio, o para aprovechar el poder y la conectividad a Internet de las máquinas que la almacenan para enviar spam, minar bitcoins, albergar pornografía o malware, o simplemente servir de pivote desde el que cometer cibervandalismos a través de Internet, y que los dedos nos apunten a nosotros.

Recordando la pregunta planteada: ¿qué hemos hecho para evitarlo?
Pensamos que cuando conectamos una máquina que da un servicio a Internet, el sistema operativo ya es seguro por el mero hecho de actualizar los parches y ponerle un “antivirus”. Parece que el objetivo de Steve Jobs, en el que un usuario desempaqueta un producto Apple, que lo enchufas y ya funciona, es el mensaje que los trabajadores de departamentos de sistemas y de desarrollo, dejando para después el trabajo de la securización de dichos sistemas.
Si me dieran un euro cada vez que me he sentado delante de algunos clientes que me han dicho "¿Y qué más da si me hacen un defacement? ¿Qué más da que pase algo si tenemos backup de todo?” ya me habría jubilado siendo millonario.
Que levante la mano quien no haya oído que le dicen…. "Además, ya nos hicieron una auditoría muy completa hace 6 meses y nos dieron que estaba todo bien”. Claro,… y desde hace 6 meses hasta ahora, ¿no ha cambiado nada?
La lucha contra los ataques que llegan día a día, no es algo estático.
Las medidas y las mejoras en la seguridad tienen que implantarse de manera continua.
"Pruebas de denegación de servicio no me hagáis y las que hagáis en horario que no sea de máxima producción” Aha, claro… ¿y dices que quien te venga a atacar va a ser tan considerado como nosotros preguntando qué pruebas puede y cuáles no puede hacer, y cuándo puede hacerlas?
Funcionamos con multas
Está claro que basta con que un radar nos haga una foto y nos quite peso del bolsillo, para que tengamos precaución con el acelerador en la siguiente. Cuando hay una normativa que exige que apliquemos ciertas medidas de seguridad, nos preocupamos un poco más. En general, se hace por cumplir, no por la conciencia de la seguridad en sí. Es decir, que subestimamos una vez más lo que puede pasar. Entonces es cuando, para cumplir la checklist, subcontratamos el servicio a “una empresa especializada”.
Aquí llega cuando los departamentos de compras se ponen medallas por conseguir “apretarle” al proveedor de confianza en base a conseguir un precio más bajo en la realización de los servicios de sistemas y seguridad. Obviamente, si se ha logrado que una empresa tenga que hacer un servicio perdiendo dinero, enviará al recurso más barato que tenga… o aplicará un esfuerzo proporcional al pago recibido. Obviamente, esto redundará en el resultado final, es decir, en que la seguridad volverá a ser quien pague el pato.
Como me decía un señor con el que tuve que firmar un contrato hace poco, y al que hacía alusión por incluir por escrito ciertas cláusulas: “Creer algo, está bien pero controlarlo está mejor” Si crees que con una auditoría cada 6 meses es suficiente, perfecto. Pero si aceptas un consejo, toma medidas para que la tuya, no sea la próxima base de datos que aparece en Pastebin.

Y ya que estamos citando a los famosos, no nos sonará nueva la que dice que "la mejor defensa es un buen ataque”, aunque también es famosa si intercambiamos los sustantivos quedando como “el mejor ataque es una buena defensa"

0 comentarios:

Publicar un comentario