Las 6 peores ideas sobre seguridad informática (III)

La verdadera pregunta no es “¿podemos educar a nuestros usuarios para ser mejores en el ámbito de la seguridad?” sino “¿por qué tenemos si quiera que educar a nuestros usuarios?”. En cierta manera esto no es más que un “Permitir por Defecto” encubierto. ¿Por qué los usuarios tienen permisos para obtener archivos ejecutables? ¿Por qué esperan los usuarios recibir emails de bancos en los que no tienen cuentas? La mayor parte de los problemas que se pueden corregir educando a los usuarios se corregirán a sí mismos a lo largo del tiempo. A medida que una generación más joven de trabajadores se mueve al frente de los puestos de trabajo vienen pre-instalados con un saludable escepticismo acerca de fraudes e ingeniería social.

Tratar con cosas como los archivos adjuntos y el phishing es otro caso de “Permitir por Defecto”, nuestra idea estúpida favorita. Después de todo, si estás dejando a todos tus usuarios obtener archivos adjuntos en sus emails estás “Permitiendo por defecto” cualquier cosa que se les mande. Una idea más apropiada podría ser simplemente poner en cuarentena todos los archivos adjuntos a medida que llegan a la compañía, eliminar todos los ejecutables directamente y almacenar sólo los pocos tipos de archivos que decides que son aceptables en un servidor donde los usuarios puedan entrar a través de un navegador con soporte SSL (requerir una contraseña eliminaría una gran cantidad de mecanismos de propagación de gusanos de golpe). Hay herramientas gratuitas como MIMEDefang que pueden ser utilizadas fácilmente para eliminar archivos adjuntos de emails entrantes, escribirlos a un directorio por usuario y reemplazar los adjuntos en un email con una url a la dirección donde se pueda descargar el adjunto. ¿Por qué educar a los usuarios si puedes clavarle una estaca al problema directamente en el corazón?

Cuando era CEO de una pequeña startup de seguridad informática no teníamos administrador de sistemas Windows. Todos los empleados que querían ejecutar Windows tenían que saber cómo instalarlo y manejarlo ellos mismos o directamente no les contratábamos. Mi predicción es que en 10 años los usuarios que necesiten ser entrenados estarán fuera del mercado laboral o que se entrenarán en casa para mantenerse competitivos. Esta misma predicción incluye el saber que no hay que abrir archivos adjuntos de extraños.

#6) La acción es mejor que la inacción

Los ejecutivos de TI parecen estar divididos en 2 categorías: los “adoptadores tempranos” y los “pausados y pensativos”. A lo largo de mi carrera me he dado cuenta de que un número realmente pequeño de los “adoptadores tempranos” han construído sistemas con éxito y seguros para objetivos críticos. Esto es así porque por alguna razón creen que “la acción es mejor que la inacción”: es decir, si te encuentras con una nueva tecnología es mejor instalarla ahora mismo que esperar, pensar sobre ello, ver lo que les ocurre a otros adoptadores tempranos y entonces instalarla una vez que ya ha sido puesta a punto y ha tenido su primera generación de usuarios experimentados. Conozco a un ejecutivo TI senior -uno de los pausados y pensativos-, cuyo plan para instalar soporte wireless a lo largo y ancho de su compañía era “esperar 2 años y contratar a una persona que haya hecho una instalación wireless exitosa para una compañía más grande que la nuestra”. No solo la tecnología estará más refinada para entonces sino que será mucho, mucho más barata. ¡Que estrategia tan brillante!

Hay un importante corolario a la estúpida idea de “la acción es mejor que la inacción” y es este:

“A menudo es más fácil no hacer algo estúpido que hacer algo inteligente.”

Sun Tzu no escribió esa frase en “El Arte de la Guerra” pero si le dices a un ejecutivo TI que lo hizo te tomarán mucho más en serio. A muchos de mis clientes les he estado aconsejando: “mantente apartado del outsourcing de seguridad durante un año o dos y entonces busca recomendaciones y opiniones sobre los sangrientos y mutilados supervivientes, si es que queda alguno.”

Puedes ver la estúpida idea de que “la acción es mejor que la inacción” a lo largo y ancho de las redes corporativas y tiende a estar relacionado con directivos TI que hacen sus decisiones de compra de productos leyendo los informes de investigación Gartner y los coloridos folletos publicitarios de las compañías. Si te encuentras en la cadena de mando de dicho directivo, sinceramente espero que hayas disfrutado de este artículo porque probablemente entiendas perfectamente de lo que estoy hablando.

Una útil técnica de kung-fu burocrático es recordar que si te encuentras luchando contra un “adaptador temprano” te puedes apoyar en tus compañeros. Hace varios años tuve un cliente que estaba planeando gastarse una importante suma de dinero en una tecnología sin probarla operativamente. Recomendé extraoficialmente al director de TI al cargo que enviase a alguien de su equipo a una conferencia relevante donde le fuese posible encontrar a alguien con experiencia en dicha tecnología. Recomendé al directivo que su empleado pusiera un mensaje en el boletín de noticias que dijese:

“¿Tienes experiencia directa con xyz de la compañía pdq.com? Si es así estoy autorizado a llevarte a cenar al Hilton si prometes darme toda la información que tengas del funcionamiento del producto. Conctáctamente, etc.”

El director de TI me comentó más tarde que una cena de 200€ le evitó gastar más de 400.000€ en un infernal trauma tecnológico.

Realmente es más fácil no hacer algo estúpido que hacer algo inteligente. La clave está en que cuando evitas hacer algo estúpido te aseguras de que tus superiores sepan que has navegado a través de unas arenas particularmente sucias y de que obtienes el crédito necesario por ser inteligente. ¿No es esta la mayor expresión del kung-fu profesional? ¡Recibir alabanzas por no hacer nada!

Estupideces menores

Estas ideas estúpidas no merecen el status de “La más estúpida”, pero son suficientemente estúpidas como para no mencionarlas, aunque sea de pasada:

• "No somos un objetivo" – sí, lo sois. Los gusanos no son suficientemente inteligentes como para darse cuenta de que tu sitioweb/red no es interesante.

• "Todo el mundo estaría protegido si utilizasen <sabor-de-seguridad-del-mes>" - no, no lo estarían. Los sistemas operativos tienen problemas de seguridad porque son complejos y la administración de sistemas no es un problema que esté resuelto. Hasta que alguien consiga resolver el problema de la administración de sistemas, cambiar al sabor-del-mes va a hacer más mal que bien porque vas a hacer más difícil que tus administradores de sistemas ganen una experiencia que sólo se gana con el tiempo.

• "No necesitamos un firewall, tenemos una buena seguridad en cada equipo" – no, no la tienes. Si tu red no es segura cualquier aplicación que se comunique a través de la red es potencialmente un objetivo. 3 palabras: Sistemas de Resolución de Nombres.

• "No necesitamos seguridad en cada equipo, tenemos un buen firewall" – no, no la tienes. Si tu firewall deja pasar tráfico destinado a los equipos que hay detrás entonces tienes que preocuparte de la seguridad individual de esos equipos.

• "Llevémoslo a producción ahora y ya lo aseguraremos más tarde" – no, no lo asegurarás. Una pregunta más apropiada sería: “Si no tenemos tiempo para hacerlo bien ahora, ¿tendremos tiempo para corregirlo una vez esté roto?” Algunas veces, desarrollar un sistema que está constantemente en reparaciones significa que tendrás que emplear años invirtiendo en parchear porque no estuviste dispuesto a dedicar en primer lugar unos días para hacer un trabajo bien hecho.

• "No podemos parar los problemas ocasionales." - sí, sí que puedes. ¿Viajarías en líneas aéreas comerciales si supieses que la industria de la aviación tomase este camino con tu vida? No lo creo.

Adiós y Buena Suerte

He tratado de mantener el tono ligero y agradable pero mi mensaje va en serio. La seguridad informática es un campo que se ha enamorado demasiado con la moda del momento y ha olvidado el sentido común. Tu trabajo como practicante de seguridad informática es cuestionar – si no directamente enfrentarte- la sabiduría convencional y el status quo. Después de todo, si la sabiduría popular estuviese funcionando el ritmo de equipos comprometidos iría disminuyendo, ¿verdad?

Este artículo es una traducción autorizada de: The Six Dumbest Ideas in Computer Security

( www.ranum.com/security/computer_security/editorials/dumb/ )