Sobre mi participación en la «Jornada de Seguridad Informática» de Area Tic

Hace unos días, tuve la oportunidad de participar en la «Jornada de Seguridad Informática» organizada por «Area Tic» en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la «reputación online» y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del «mundo blog» como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el «Social Media» o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por «ingeniería social» con el fin de conseguir el código de desbloqueo a un «Smartphone» supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de «Comercio electrónico» y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un «vacio» entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación «real» ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series «27000») por aquello de «conseguir la certificación», habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse «sustos» y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un «cerrojazo» por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); «Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa«, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como «Recursos Humanos», donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone «hacer click» en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir «por que sí» y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos «los deberes hechos» y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan «romper» mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo «vivo» que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad «real» y actual como apoyo a las diferentes empresas de certificación / adecuación.

 

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • Alfon

    Enhorabuena Bro por tu nueva andadura de ponente en estos eventos de seguridad.
    Tienes toda la razón, en las PYMES las nociones y prácticas sobre seguridad, en muchos casos, es casi nulas. Sin ir más lejos, ahora estoy tratando un problema de Kerberos, NetLogon y problemas DNS que han resultado ser…. Conficker, y es que aún muchas empresa se andan con esas después del revuelo de hace solo un par de años y con una seguridad de la infraestructura de red bajo mínimos. Grandes proyectos, grandes dineros, pero la seguridad qué ?.

  • dabo

    Hola Alfon ;)

    Pues mira ahí el ejemplo que pones, a eso me refiero, una cosa es ir cumpliendo las diferentes normativas, normas ISO, etc y otra la (IN) seguridad «real» a la que nos enfrentamos día a día, algo que siempre suele ir por delante de las normativas y certificaciones. Cambios como los que traera la Ley 32/2003 General de Telecomunicaciones respecto a la obligación por parte de las empresas de informar sobre problemas de seguridad tipo el ataque de buyvip.com, harán que el panorama se ponga aún más delicado y los esfuerzos debe ser (aún) mayores….

    Un abrazo ;)

  • Pingback:

    Bitacoras.com
  • Villaveiran

    Excelente articulo Dabo, desde mi punto de vista se esta haciendo justo al Reves de como deberia, En vez de.. Implantar medidas para estar mas seguros, y asi cumplir los requisitos de la ISO o la LOPD, se implantan medidas para cumplir las normas y si luego valen para seguridad pues bueno….ademas creo que el problema es que el cliente no tiene ningun conocimiento, y estan asesorando a empresas en temas de seguridad informatica Gabinetes de Abogados (con mas bien pocos conocimientos informaticos) si ya hablamos de los Comerciales jejejeje….Yo lo veo mal y ademas de dificil solucion porque tanto la ISO 27001 como la LOPD no deberian especificar como hacer…y mientras solo digan que implantar (de forma generica) en ese margen se mueve mucha gente que busca dinero facil.Los sustos llegan luego en los juicios y eso.
    PD:Felicitaciones por la jornada en AreaTic.

  • Ángel Alonso Fonseca

    Primero de todo, ¡enhorabuena! ;)

    Dabo, como novato en todo esto (que además no se dedica profesionalmente a ello) quisiera aprovechar tu post para preguntarte (y a quien quiera contestar) si en esto de la seguridad informática empresarial existe algo parecido a un seguro.

    Todos sabemos del peligro que tiene para una empresa que los datos de clientes queden expuestos. Ya hemos visto a Diginotar caer en unas semanas, pero para mí lo extraño es que haya casos como el de Sony, en el que un agujero real tiene poco/ningún impacto sobre la empresa que se toma la seguridad a la torera. Seguro que aquí algunos dirán que no, pero la impresión que, meses después del problema de Sony, me queda, es que le hubiera hecho más daño una falsa campaña negativa en twitter (por poner un ejemplo) que una c**ada monumental y tangible.

    Después de todo el rollo, explico la pregunta: ¿tienen las empresas alguna manera de salvarse el pellejo en caso de fallo? ¿existe algo así como un seguro por negligencia? Más aún, en el caso de auditores de seguridad ¿conocéis casos en que una empresa auditora asegure con indemnización un posible fallo?

    Desde mi punto de vista (trabajé en algún que otro proyecto de consultoría para empresas grandes, pero nunca en nada relacionado con la seguridad), si una empresa no invierte suficiente en evitar problemas mayores, normalmente es porque tiene un plan de indemnizaciones/seguro. En producción de Software existe desde hace años, y eso explica que cuando algún proyectos no se terminan a tiempo, el cliente no se queje demasiado. Para ellos sería más complicado hacer un seguimiento diario que esperar y, en caso de que algo se trunque, recibir la indemnización pertinente.

    En otras palabras, si no existe una razón económica que haga más «llevadero» el posible problema que la inversión en seguridad, no me lo explico, sobre todo con la cantidad de casos que demuestran a diario que esto no es una paranoia sino un riesgo tangible.

  • Ángel Alonso Fonseca

  • dabo

    #Villaveiran

    Encantado de saludarte también por aquí y bienvenido al blog ;). Los tiros van por ahí, es cierto que hay consultoras que abarcan «todos los campos», incluso, los cuasi-imponderables, pero realmente son las menos. Normalmente, la certificación va por un lado, la adecuación a la LOPD por otro y hablando de medidas de seguridad, suele caer en el departamento de informática que por lo general está saturado de trabajo y no pueden abarcar todo lo deseable.

    Ahí es quizás el lugar en donde existe ese vacío al que aludo en el post. El día que muchas empresas entiendan que con más seguridad se adaptarán mejor a todos los requerimientos legales y que sus datos estarán a mejor recaudo (no sólo en un inventario), a todos nos irá mejor.

    #Ángel Alonso Fonseca

    Ya he visto el enlace sí, uff ;D Sobre lo que comentas, hay muy pocas aseguradores que cubran este tipo de riesgos y normalmente si hablamos de responsabilidad civil, uno asequible puede cubrir hasta los 300.000 € por un precio que puede rondar los 1.500 / 2.500 € / año, es sólo un ejemplo vaya. Pero luego, ya es un tema que se pacta en las condiciones del trabajo a realizar, las responsabilidades económicas o legales llegado el caso.

    Y el problema suele venir con las actuaciones que se realizan y todo lo puede influir en el trabajo del consultor, más que nada porque hay veces en las que tú realizas un trabajo sobre una plataforma, sistema o software en concreto y luego puede que por daños colaterales y no por lo que hayas hecho salgas afectado (o la empresa), es complejo la verdad

    Saludos ;)

  • Villaveiran

    Es un poco de lo que yo hablab Angel Alfonso (yo tambien me llamo angel), la ley por ponerte un ejemplo dice que ciertos datos tipo medio tienen que tener un control de acceso,y respaldar por una politica de seguridad, y todo debe estar documentado, etc. Ahora te pongo un ejemplo, yo realizo un documento, indico que todo el que vea el fichero (y digo quien puede verlo) tiene que firmar un papel, guardo el documento y el registro en un cajon, ya estoy cubierto…. Es mas o menos lo que pasa. La ley o la Iso te dice que debes poner medios, y documentar pero no te obliga a hacerlo de una manera determinada.
    A esto añadele un buen bufete de abogados, que en caso de juicio le explican a un Juez (que no sabe de informatica nada) que las tecnicas empleadas cumplen con la ley solo que fueron vulneradas.Como decia Bruce schneider «la seguridad siempre parece buena…hasta la mala, parece buena». Un saludo

  • dabo

    Uff si entramos en el conocimiento a nivel general de la judicatura (salvo raras excepciones) y cómo están muchas veces asesorados, apaga y vámonos…

Comentarios cerrados.