27 octubre 2009

Análisis de los resultados de la encuesta Threat Assessment de Novell


Se ha publicado la última encuesta a empresas sobre Threat Assessment de Novell. La verdad es que los resultados pueden ser peores,... pero poco más.

Fundamentalmente, los mayores riesgos se han identificado en el sector de la protección de la información en dispositivos fijos y móviles (siendo estos los que mayor exposición tienen).


  • El 71% de las empresas no cifra los datos en los portátiles. En SbD hemos hablado largo y tendido de lo importante que es tener este tipo de medidas con los dispositivos móviles.
  • El 73% no cifra unidades extraibles: discos USB y pendrives. Siempre me ha impresionado cuando he estado en algún cliente que he necesitado un pendrive para transferir en mano algún fichero. Aunque no quieras mirar lo que hay dentro, al insertarlo en un PC con windows, la configuración por defecto es que se muestre el contenido del "directorio raíz". Una persona no honrada, podría copiarse montones de ficheros (posiblemente con alto porcentaje de documentos clasificados como confidenciales). Con lo sencillo que es llevar un contenedor cifrado y Truecrypt por ejemplo en el mismo dispositivo (sin cifrar) para poderlo montar en cualquier ordenador mediante acceso con contraseña.
  • Un 72% no controlan las copias de datos a dispositivos extraibles y un 78% no hacen accounting de qué se copia a los pendrives. ¿Problemas de DLP?
  • El 90 % de las empresas encuestadas reconocen que sus empleados acceden a redes wireless inseguras, de forma consciente, cuando están en hoteles, aeropuertos, bares o donde encuentran una red wireless. Aquí podemos ver dos problemas bastante importantes: Por un lado, el exponer de forma directa un PC a una red no conocida, no siempre correctamente bastionados, no siempre correctamente protegidos por cortafuegos de host, etc... (un 76% de la empresas no pueden asegurar la salud de los dispositivos móviles fuera de la empresa). El otro problema es el protocolo utilizado para intercambiar tráfico sensible a través de un canal inseguro. Por ejemplo, servidores de correo configurados para permitir recoger el correo por POP3 y envío por SMTP (sin VPNs como medida de protección). Sé positivamente de gente que provee hotspots para que la gente acceda de forma gratuita, pero tiene herramientas de sniffing para recoger contraseñas varias y sobre todo trastear con lo que la gente hace a través de su red sin cifrar. A día de hoy, con la competencia que hay entre operadores, el disponer de un dispositivo USB 3G (o a través de un enlace con el teléfono móvil) es una propuesta muy barata que proporciona un nivel de seguridad mayor que usar de forma gratuita la inocente red de un vecino....
  • Entre un 65% y un 73% de las compañías no disponen de tecnologías NAC que puedan permitir detectar y/o prevenir el acceso a la red de dispositivos que no cumplan con una política de protección del puesto del usuario definidas por la organización: Antivirus, niveles de parches, IDS/IPS de host, etc,....

4 comments :

Dubitador dijo...

" ...el exponer de forma directa un PC a una red no conocida, no siempre correctamente bastionados, no siempre correctamente protegidos por cortafuegos de host, etc "

Me parece que lo de bastionados es una curiosa errata, ya que no exite tal palabra en español y sin embargo es comprensible haciendo un poco de etimologia recreativa, suponiendose que se quiere aludir a la palabra bastión, o sea obra de fortificacion, y que remite al aseguramiento fisico de los dispositivos de gestion y almacenamiento de datos.

Lorenzo Martínez dijo...

@Dubitador -> celebro tener lectores tan amantes del detalle y de la RAE. Pido disculpas por la errata, aunque creo que la mayoría de lectores de SbD, seguramente habrán comprendido el significado deseado para la palabra "bastionado" -> securizado, fortificado, configurado de forma segura,... como indicas.

Gracias por leernos. Saludos,

Dubitador dijo...

Me has pillao. Soy mas bien reciente lector y muy lego en la materia.

En cualquier caso, dado que aqui no generamos ciencia sobre el tema, es inevitable inventar palabras mas o menos
aceptables o directamente calcadas del ingles, así que bueno, me he pasado un poco fijandome en ese detalle.

Anónimo dijo...

En rae.es dicen: bastionar -> abastionar -> Fortificar con bastiones