05 octubre 2010

Tus medidas de seguridad funcionan… ¿seguro, verdad?

Escribo este post, según asimilo lo que me ha pasado al llegar a casa por la noche. Como todos los días cuando ya no voy a salir, cierro la puerta con llave, y pongo la alarma parcial de casa. Así, puedo moverme libremente dentro, pero si yo (o un intruso) mueven la puerta principal, se disparará la alarma.

Sin embargo hoy, la alarma se ha puesto a sonar como una loca nada más activarla y, evidentemente, nada la ha hecho saltar. Me llaman de la central de alarmas. Me preguntan si está todo bien y les digo que he tenido un falso positivo con la alarma: sin intrusos en casa, la alarma ha sonado. Pruebo de nuevo y vuelve a saltar. Justo hace un año le cambiaron las pilas a todos los componentes de la alarma. Me indican que me enviarán un técnico, aunque le pregunto a la señorita por los mecanismos de auto-check de cada dispositivo y le indico que a lo mejor las pilas del módulo se han agotado. Me dice que, cada mes (Oh my God!!!) la alarma practica un auto-check y manda un reporte a la central. Curiosamente el auto-reporte ha sido enviado hoy, con TODO OK!.. sin errores de batería baja de cada módulo. Probando a mano, veo que más de un módulo no detecta perfectamente que hay un "intruso". La solución es que vendrá lo antes posible un técnico y lo solucionará y probará como parte del mantenimiento.

Esta experiencia me hace reflexionar sobre lo importante que es el hacer pruebas "de verdad" a los diversos mecanismos de seguridad, ya sea física o lógica, con los que contamos en nuestras infraestructuras. En este caso ha sido la alarma de casa, pero existen muchos más ejemplos cotidianos que nos asegura que todo funciona como debe: Las revisiones del coche o cualquier medio de transporte público, los ascensores, pruebas de seguridad realizadas a un avión antes/después de cada vuelo, los juegos de un parque de atracciones, etc,…

Como parte del mantenimiento de seguridad de cualquier sistema, se debe especificar un plan de pruebas en el que quede bien definido, al menos lo siguiente:
  • Nivel de criticidad del sistema a probar
  • El tipo de la prueba y su descripción
  • Objetivo de la prueba
  • Impacto de la prueba
  • Detalle del procedimiento a realizar (si aplica)
  • Sistemas interrelacionados/dependientes al que se va a probar
  • La frecuencia con la que se repite la prueba
  • Procedimiento a llevar a cabo en caso de fallo
En el caso de la alarma, está claro que ni la frecuencia del auto-check es correcta (1 mes entre un reporte y otro es claramente insuficiente), ni la forma de llevarla a cabo tampoco (confiamos en que los checks de comprobar batería baja funcionen, y en mi caso no funcionan como deben…). No digo que la empresa de alarmas haga mal su trabajo (reaccionan rápido y siempre cuando hay una alarma), pero sí que deberían esmerarse más en los procedimientos de comprobación de equipamiento: si el pago del mantenimiento es mensual, que las pruebas también lo sean.

Recuerdo en empresas en las que he estado que se indicaba (aproximadamente una vez al mes) que apagáramos los PCs por la noche, porque se iba a hacer pruebas de funcionamiento de los grupos electrógenos de generación de energía alternativa.


El propósito de cierto tipo de auditorías, requiere incluso el ocultar a los operadores y responsables del área de seguridad (con el consentimiento de la alta dirección, eso sí), que va a existir un intento de ataque real, a fin de comprobar la capacidad de reacción de  la organización para hacer pruebas ante una situación en la que se empiezan a encender luces rojas, a saltar traps SNMP, correos de alerta, etc,….  Con la misma finalidad, se efectúan simulacros de incendio o de atentado terrorista, permitiendo calcular el tiempo de evacuación de un edificio y optimizar los procesos. En menos palabras: prevenir, comprobar que los procedimientos son los adecuados y que están activos.

¿Y en las infraestructuras informáticas? 
No está de más el automatizar una serie de procedimientos que comprueben cada X tiempo que los sistemas de detección y defensa de una organización funcionan, que generan la alerta correcta, que avisan a quien tienen que avisar, en definitiva, que cuando toque un fuego real harán su función.