13 noviembre 2009

Seguridad por oscuridad ¿verdadera seguridad?

En el día a día de mi profesión veo, entre otras otros hábitos y políticas, diferentes formas de afrontar la seguridad por parte de las empresas.

La primera y más reconocida por parte de clientes, organizaciones e incluso entre departamentos dentro de las mismas compañías, es la seguridad por oscuridad. Raro se me hace a veces el encontrar titulares en prensa especializada en el mundillo de los fabricantes, mayoristas, integradores y clientes españoles, como SIC, TCN, o Red Seguridad, en los que se publica que tal o cual organización ha confiado su seguridad en la solución de "nosequé" fabricante de UTMs o de antivirus. Cuando hago una presentación a clientes de los productos de mi empresa, suelo mantener la confidencialidad de los clientes con los que trabajo, mencionando los sectores a los que se adecúa mejor nuestra tecnología, pero sin identificar a nuestros actuales clientes.

En general, corporaciones cuya información requiere de especiales cuidados (véase bancos y cajas o como dice mi compañero Javier.... los que ponen la pasta colgando en Internet) suelen ser más comedidos ante determinadas publicaciones o "disclosures" de información. ¿Por qué? ¿Por qué ese tipo de corporaciones sí que tienen fuertes restricciones con lo que se publica en los medios de prensa y las demás no? ¿Es que los que sí que publican a los 4 vientos no les importa tanto lo que protegen? Organizaciones que pertenecen a la administración pública, están obligados porque han de publicar en el BOE cómo invierten los impuestos de los españoles. Otras, en general, relacionadas con el mundo de la industria, energéticas, salud, viajes,... lo que tienen para proteger no es dinero como beneficio directo, sino a través de producto transformado: sus datos. Sin embargo, éstas últimas, suelen tener menos tapujos a la hora de indicar qué mecanismos utilizan como primera o segunda línea de defensa, qué tipo de tecnología de autenticación, de cifrado, etc,...

Mi pregunta ante estos hechos son: ¿cuál de las dos políticas es la correcta? Parece de sentido común el pensar que el no divulgar información al exterior sobre los datos concretos de en qué producto/fabricante confiamos nuestros huevos (los de la cesta, claro) puede ser una medida de los más acertada.

Sin embargo, el otro día leyendo una de estas revistas que mencionaba anteriormente, en una entrevista realizada a un directivo de una aseguradora, una afirmación que me resultó muy interesante: "La seguridad no tiene que ser secreta: secretos son los procedimientos". Y en buena parte tiene razón.

Estaréis hartos de oirnos (o leernos) repetir en nuestros posts que las buenas prácticas en materia de seguridad han de incluir unos procedimientos sólidos y una metodología basada en la estrategia del diseño, la fortificación (1, 2, 3 y 4) (esta vez no me pilláis con el bastionado, aunque sea válido) de las infraestructuras, de política de parches y actualizaciones, de selección de la tecnología de calidad y adecuada a los tiempos y a los ataques actuales,... Al fin y al cabo "Quien nada hace, nada teme" por lo que, aunque te decantes por la elección de un fabricante u otro para proteger parte de la seguridad de tu organización, si partes de unos buenos principios como los mencionados, y mientras no se desvele la estrategia o detalles internos de la red.

Yo sin embargo, sigo pensando que, mientras no sea obligatorio, mejor dar un trabajo de más a los atacantes para averiguar qué me protege y qué versión, en vez de evitarles un montón de pruebas de auditoría.

3 comments :

Anónimo dijo...

A día de hoy, grandes corporaciones se reúnen para compartir sus cifras y datos (ataques), revelando esta información de forma anónima.

Respecto a si debe ser compartida al público... no creo que fuera buena idea... siempre puede haber alguien del lado del mal observándonos.

+1 entre corporaciones
-1 al público

Saludos

Anónimo dijo...

Si yo tengo la pasta en el banco X y el banco X utiliza la tecnología Y a la que un buen dia alguien le encuentra un fallo que tarda en ser solucionado, yo como buen cliente que quiere cuidar su dinero lo que haría sería sacarlo.
Para ellos la obscuridad es buena, nos esconden sus errores.
Para nosotros es mala, no tenemos información cmpleta de la situación de neustro dinero por lo que nos impide tomar la decisión optima para él.

La falta de información simepre es mala, quien no sepa manejarse con ella siempre puede contratar a un profesional que pueda, pero esconder cosas impide hasta a esos pofesionales tomar las decisiones correctas (hablo de manera más general, por que esto que planteas es solo un caso particular)

dreyercito dijo...

Totalmente de acuerdo, no hay que ponerselo facil a los chicos malos. Lo verdaderamente importante es no confiar _unicamente_ en el secreto como unica arma de defensa, es decir, que aun conociendo el sistema deberia ser suficientemente seguro. Pero cuanto mas capas y mas dificil se lo pongas desde mi punto de vista muchisimo mejor.