¿Para qué?
Cuando hablamos de seguridad informática es lo primero que debemos preguntarnos.
Seguramente la respuesta instantánea sea para evitar que “extraños” se infiltren en nuestras computadoras y nos dañen los sistemas.
Esta respuesta tiene un par de errores, el primero es que lo que debemos proteger no son los sistemas, las redes ni las computadoras, sino la información.
Este punto es fundamental para poder desarrollar una estrategia de seguridad que sea útil para la compañía.
La información es el activo intangible más valioso que tiene toda empresa, y su degradación, indisponibilidad o pérdida acarrea trastornos, quebrantos e incluso puede forzar el cierre de una empresa.
En seguridad es bastante común que se salte a conclusiones apresuradas, y aquí está el segundo error de la frase. Los sistemas de seguridad informática no solo deben proteger nuestra información de los extraños, sino que deben proteger la información, así a secas.
Cuando revisamos esta frase modificada:
“Los sistemas de seguridad informáticos deben proteger la confidencialidad, integridad y disponibilidad de la información”
Es más fácil comprender las estadísticas que dicen que el 80% de los ataques informáticos vienen desde dentro de las redes corporativas y no de extravagantes hackers que dedican noches enteras a encontrarnos una vulnerabilidad (una puerta trasera sin llave) de nuestra defensa externa para poder acceder y espiar nuestros registros de venta, las cuentas corrientes o los planos de un diseño novedoso sobre el que trabajamos.
Desde nuestro punto de vista, el proceso de seguridad informática comienza y debe tener su foco principal en el uso que día a día hacen los propios usuarios de la red.
Es bastante común que se inviertan algunos dólares en la instalación de una protección externa sobre la conexión a internet de la compañía a la vez que nadie se ha tomado la molestia de analizar si se realiza una copia de seguridad consistente o si están activadas las restricciones básicas de los puestos de trabajo.
Consistente. Este es un punto fundamental. Muchas dirán, “si, una vez por semana copiamos toda la información de la empresa”, yo les pregunto:
¿A donde?
Las respuestas van desde el lamentable:
“bueno, se copia en el mismo disco donde está la información operativa”
Hasta el un poco mejor, pero insuficiente:
“Se copian en un dispositivo externo que guardamos en un cajón junto al server para tenerlo a mano en caso de necesidad”
Esto es más o menos como llevar la rueda de auxilio de un auto rodando junto a una de las 4 principales.
Además de exponer la copia de respaldo a los mismos riesgos que está expuesta la información principal (incendio, robo, caño roto, etc), expone el TOTAL de la información a un hurto simple de perpetrar por cualquiera.
Si yo quisiera robarme información de una empresa, más que dedicarle interminables horas a atacar sus conexiones de internet me postularía para el puesto de ordenanza nocturno. Seguro que en un cajón encuentro un backup más o menos actualizado de todos los datos relevantes.
Otra pregunta insidiosa suele ser:
¿Cada cuanto?
“No, cada una semana y eso si el responsable se acuerda de conectar el dispositivo externo (en general se olvida)…. De hecho estábamos pensando comprar un disco del doble del tamaño que el que tenemos hoy (no cuestan nada los discos) y empezar a hacerlo sobre el mismo disco, así no depende de una persona…”
¿Cuánto cuesta reprocesar una semana de actividad?
Olvidemos por un momento quien lo va a hace, ¿De donde salió la información que se cargó al sistema? ¿Esa información está disponible en algún otro medio?.
Mi mujer es una experta en este tema, gasta fortunas imprimiendo fotos en papel… dice que cada vez que cambio la notebook pierdo todas las fotos digitales…
Yo le replico que no, que no he perdido nada, pero que las tengo en un archivo que se puede abrir con un programa que no se puede instalar en el nuevo sistema operativo y que para recuperarla debería dedicarle una semana para poder verlas…. En fin, creo que tiene razón, es lo que estoy diciendo, la fuente de la información volcada al sistema puede que esté dando vuelvas por ahí, pero volver a acomodarla de forma tal para que pueda ser reprocesada…, eso es otra historia.
Entonces, es fundamental que al momento de armar un plan de resguardo se analicen los procesos del negocio que generan información y su tolerancia al retroceso. Esto va a determinar el principal parámetro de resguardo LA FRECUENCIA.
Para otros puede ser que una semana sea adecuado, pero para muchos negocios la tolerancia es 1 minuto, 1 segundo. Ellos van a tener que invertir grandes cantidades para lograrlo…, pero van a tener la certeza que si el negocio fracasa no es por una perdida descuidada de información.
Pero supongamos que el resguardo está cubierto, volvamos a la “fuga” de la información.
¿A quien le tengo que desconfiar?, ¿al hacker?, ¿al servicio de limpieza?
En este rato estuve pensando, creo que soy un tonto si me postulo para el puesto de ordenanza nocturno. Primero el horario es un incordio y el trabajo es arduo.
Apostaría que postularme para cualquier puesto administrativo de un área que no tenga mucha carga de trabajo sería mejo. Esto pondría a mi disposición un puesto de trabajo conectado a la red.
¿Cuánto pesa la base de datos más grande de su empresa? ¿3, 20, 100GB?
25U$, U$100, U$300 es lo que cuesta un dispositivo removible en el que entre todo ese volumen…
¿Usted sabe que hacen los usuarios con los puestos de trabajo?, ¿tienen permiso para conectar dispositivos USB? ¿Pueden instalar programas en sus pcs?
Si duda es probable que la respuesta sea SI, si pueden…
Entonces, en mi nuevo puesto de trabajo instalaría un par de herramientas como un administrador corporativo de SQL y programaría una copia de la base de clientes al disco de mi PC, de ahí al pen drive de U$25 y de ahí al correo para mandar el telegrama de renuncia. Aunque quizás antes de renunciar podría dejar un Access point enchufado a la red para poder conectarme desde el café de la esquina en unos días, unos meses y probablemente durante años antes de que alguien se de cuenta.
Todas estas cosas pueden sonar complicadas, pero no hay que olvidarse que los juniors de 18 a 25 años tienen 10 o 15 años atrás de un teclado y manejan estas cosas como nosotros el control remoto del televisor…
Acceso público a Internet, una arma de doble filo.
Finalmente creo que el peor enemigo de la confidencialidad de la información es usted o alguno de sus gerentes.
Es que ahí se da otra combinación bastante compleja, cargo jerárquico, necesidad de movilidad, reemplazo de su puesto de trabajo por una notebook…
Hoy es fundamental que la información esté donde están las personas que toman decisiones o generan negocios. El que todavía no haya notado ese punto es probable que esté por perder su negocio.
Pero por falta de asesoramiento se suelen adoptar medidas que facilitan la movilidad sin tener en cuenta los mínimos resguardos necesarios.
Cada vez se ven más ejecutivos trabajando en los cafés conectados a los accesos inalámbricos gratuitos. Cuando estoy en uno de ellos siempre me tienta la idea de acercarme y preguntarles si saben la clave de administrador de su equipo, porque yo me animo a apostar (lo he comprobado) que en un 50% de los casos es “” nada, blanco, enter. También le preguntaría si sabe que existe un recurso compartido en todo Windows XP/Vista que es c$. Si, es lo que se imaginan, es el disco C COMPLETO.
Entonces el amable junior que se ha sentado en la mesa del fondo solo tiene que hacer un par de pruebas para averiguar la dirección de cada uno de los que están conectados y después poner:
\\direcciondemaquina\c$
Para empezar a copiar todos los documentos, mails y hasta la información de usuarios y passwords de las páginas de internet que más usamos.
Supongamos que este realmente groso error de seguridad (el password de administrador en blanco) está salvado.
El otro tema es, ¿cómo funciona el wireless? La analogía más simple es el de una radio, una antena pone información en el aire disponible para que todo aquel que sepa escuchar la pueda ver.
Si, de manera bastante simple se puede capturar toda la información que mandan y reciben las placas wireless de nuestras notebooks y siempre que esta no esté encriptada estará legible para todos los que la quieran leerla.
Ahí va el usuario y passwor de una cuenta de mail, ahí va un mail completo con el reporte de ventas del último trimestre…
De vuelta, hoy la información tiene que estar donde está la persona que la necesita y es grandioso el valor que aporta la tecnología gratuita instalada a lo largo de los bares, cibers y demás accesos públicos a internet. Pero es fundamental contar con un asesoramiento idóneo para que aprovecharlas no se convierta en una pesadilla.
