26 octubre 2012

Hola, hola, ¿se escucha bien por ahí?

Luego de un tiempo vuelvo a compartir un punto de vista, que ha surgido a partir de cubrir el primer día del  #6enise y de un comentario posterior de mi amigo Gastón Rivadero (@derlok_epsilon) que decía más o menos algo así: "¿No te queda la sensación de que todo termina en un grupo de gente que se junta a decir más o menos lo mismo, pero nadie lo hace?"

Creo que su lectura es acertada, y es que ¿no les parece que en definitiva terminamos todos los profesionales de seguridad diciendo lo mismo? voy a destacar algunos puntos para intentar mostrarlo:

|- El ser humano es el eslabón más débil


Nada más cierto, los ataques lo demuestran, desde campañas de phishing bien absurdas hasta la más compleja de las APTs, todo termina en un usuario que sin mucho cuidado hace click en algo que aprovecha una vulnerabilidad y listo, ya estamos adentro.
Hay que concientizar (o como diría un amigo, "acojonar"), esa generalmente es la conclusión, incluso requerido por más de una ley o regulación, pero entonces, ¿por qué no se hace?



|- No se parchea

Otra gran verdad, se suele ver aún en la más crítica de las infraestructuras ausencia de parches de seguridad, así como también en los puestos de los usuarios, esto último quizás potenciado por la falta de un catálogo de software aprobado, limitación de privilegios en los usuarios, etc, etc. ¿por qué no se hace?






|- El perímetro es el usuario (sus aplicaciones y dispositivos)
Coincidimos en esto hace un tiempo, pero fue necesario que el usuario lo demuestre llevando su dispositivo al trabajo, dando lugar a una sigla bien simpática "BYOD". Ahora que justo habíamos terminado de configurar el firewall e inventariar las desktops, se les ocurre comenzar a utilizar sus propios dispositivos :S
¿por qué vamos tan atrás?


|- Es necesario un inventario

Pues que cierto que es esto, necesitamos saber qué tenemos!!
¿Por qué salimos a implementar medidas sin contar con un inventario? ¿Por qué nos preocupamos por el ROI, si antes no conocemos los riesgos, a qué activos impactan y qué valor tienen?
Debemos relevar los activos, catalogarlos, y realizar análisis de riesgos, las regulaciones lo exigen, así como varios estándares de seguridad y ahora las estrategias nacionales de ciberseguridad. ¿por qué no se hace?

NOTA: es bueno saber que ahora las telcos saben que tienen redes industriales ;)


|- Hay que gestionar los incidentes de seguridad



Otra gran verdad, sin embargo en muy pocos lugares se nota alguna preocupación por la conformación de grupos de respuesta a incidentes. En verdad, en muchos lugares todavía están definiendo cuestiones más elementales. Ya habrá tiempo para este tema, o esperaremos que nos pase. Creo que la gente de Diginotar pensaba algo así. ¿por qué no se hace?



La lista de temas sigue, y seguro coincidimos en muchos, aunque en otros tengamos alguna diferencia. Ahora bien, creo que habría que comenzar a debatir el "¿por qué no se hace?", y digo esto luego de ponerle como título al post "Hola, hola, ¿se escucha bien por ahí?", ¿acaso es un problema auditivo? creo que en realidad todos los que estamos de acuerdo en estas premisas y tantas otras, deberíamos comenzar a replantearnos las estrategias de comunicación. 

Claramente el resultado demuestra que hemos fallado, y digo esto, sin obviar que en muchos lugares las decisiones están en manos de gente irresponsable (incluyendo a nuestros políticos), pero en muchos otros lugares, seguimos preocupados por convencer a Jefe de Sistemas, Desarrollo o a nuestro propio Jefe de Seguridad, cuando en realidad nuestro público debería estar a otro nivel. En definitiva, quizás deberíamos aprender a jugar al golf :)

Contribución gracias a Mariano M. del Río

4 comments :

Ender Wiggin dijo...

Respecto de la primera cuestión, un ejemplo personal: el pasado viernes me mandaron un e-mail con una interesante oferta de colaboración profesional. Era una persona conocida, pero me pedía el teléfono para hablar en persona. Lo mandé inmediatamente, pero al cabo de un par de horas me di cuenta de que no era la dirección de e-mail habitual (dominio propio), sino una de Gmail. Me tiré dos días angustiado, pensando en ataques de SMTP Spoofing y cosas parecidas, hasta que finalmente me llamaron, y pude confirmar que todo estaba OK. Moraleja: puede que los expertos en seguridad sí podáis, pero la gente normal no podemos vivir en "modo paranoico" permanentemente.


Un saludo.

Anónimo anodado dijo...

No es que vivas en modo paranoico, es simplemente que seas más consciente del entorno que te rodea, y que en ese entorno hay cosas malas que te pueden hacer mucho mal; si al menos estás prevenido o "educado", tendrás siempre más opciones de salir ileso que si ni siquiera sabes en dónde te metes o desde dónde te llegan los problemas.
Imagina que te piden la cuenta bancaria o el nº de tu tarjeta, ¿por mucho que sea un conocido no te preocuparía algo?
Está claro que no es lo mismo, pero o parece que nos ponemos en ejemplos extremos o no aprendemos a tomar los riesgos en serio...
Salu2!

ordeppm dijo...

excelente artículo, comparto la idea de que sabemos una serie de cosas,
pero por alguna razón (comunicación, falta de expresarse. o algo así) se
"obvian". creo que (y disculpenme la extrapolación tan drástica (y no
tan buena)) es como cuando una pareja tiene un problema y ambos lo
saben... pero no lo hablan ni lo discuten asumiendo de que con sólo el
hecho de que ambos lo sepan el asunto está zanjado... y no buscar un
concilio, un arreglo o incluso (a veces "normal") buscar una ayuda externa que
tenga más conocimiento y poder enfrentar la situación (es)... en fin muchas gracias por la publicación

Víctor Escapa dijo...

Gran aportación, alguién tenía que decirlo...