Empresas, datos e inseguridad informática

Posted by Dabo on febrero 10, 2006
Cibercultura, Seguridad Informática
icokey.gifSolo quería dar mi punto de vista este mes sobre el tratamiento de los datos y la gestión e implantación de las políticas de seguridad en pequeñas y medianas empresas. Lamentáblemente, para muchos empresarios, el concepto de seguridad se resume a que en cada puesto esté corriendo un antivirus…
(Reseñado por Maty también con una interesante reflexión suya en meneame.net )

La seguridad no vende, incomoda y es algo mucho más intangible que por ejemplo, ampliar la velocidad de conexión a la red o mejorar el contrato actual con un operador de telefonía móvil.

La seguridad de los datos que se almacenan, a veces se suele resumir a destruir papel, hacer los backups pertinentes en el Windows 2000 server de turno y como mucho, un triste antivirus instalado en cada máquina como os decía antes.

Entre que normalmente el empresario quiere pagar poco y el servicio técnico hace lo que puede para ajustar costes, al final, unos por otros la casa sin barrer. La empresa tiene un problema, va a precio, el que lo repara baja los costes, tiene un contrato de mantenimiento muchas veces cogido “con alfileres” y no quiere perder a su cliente ¿Qué hace? le lleva el “maldito” ratón que no acaba de ir bien y punto…

¿Y la seguridad? ¿Eso què es? la seguridad informática es un concepto mucho más global que las medidas “locales” que se suelen adoptar, el “mea culpa” lo deberían entonar tanto unos como otros, la empresa por querer ahorrar a costa de lo que sea y quien lleve el mantenimiento por no saber asesorar a veces a su cliente o por miedo a perderlo si se sale del rol establecido. Se que suena muy tajante pero voy a tratar de daros alguna pista y ejemplos.

Entiendo que no todo el mundo lo hace mal, pero hablo de una gran mayoría, conozco casos muy a fondo y sobre todo los mayores problemas vienen en las Intranets corporativas de a veces no tan pequeñas empresas. No voy a hablar de espionaje industrial que existe y telemáticamente se practica más a menudo de lo que nos imaginamos. Un ejemplo, red interna de 30 equipos, conectada a su vez a Internet por la conexión que ofrece la propia Intranet corporativa, alguno se podría sorprender de la cantidad de información confidencial que se puede levantar por medio de todo un clásico, Netbios ¿Creéis que exagero? se de lo que hablo. Me vale eso como que a un router Cisco le dejen por defecto “user admin password admin” ¿?

Estas cosas pasan y no me las han contado, lo he visto. Otro caso, la empresa demanda un sistema de mensajería instantánea para los 30 equipos, no quieren saturar el teléfono y el servicio técnico tiene la brillante idea de instalar un programa como por ejemplo el Network Assistant.

Casi me caigo al suelo cuando veo que dicho programa entre otras funciones permite ver los procesos en máquinas ajenas, texto en el portapapeles y…LA PANTALLA ACTIVA DEL ORDENADOR AJENO. Si, un supertroyano y encima a golpe de ratón. Cuatro cliks y dentro, alucinante, el programa te permite hacerte administrador localmente en cada puesto pero con efecto global. Osea, tu controlas y te controlan, había un modo de pararlo que impedía ese ataque a la privacidad pero…era más sencillo instalar el programa y punto. Lo que estoy diciendo es algo fuerte porque no quiero pensar en el típico “insider” que controla o se molesta en ver las típicas opciones del soft viendo lo que leen o escriben sus compañeros, en gerencia o administración.

¿Quien tiene ahí la culpa?

O un AS400 donde se lleva toda la contabilidad, datos de clientes etc con alguien que tiene acceso y que la autentificación se basa en “user Sara” – “password Sara” y donde puedes entrar por telnet previo escaneo a un rango de ips para identificar puestos y servicios corriendo…

Claro, luego el problema es que el trabajador se baja mucha porquería de Internet o que navega por donde no debe navegar y por culpa de eso entra un virus aquí o allá y todo al garete. Y voy yo y me lo creo, aplicaciones corporativas donde solo se puede entrar con Explorer, sistemas arcaicos, ilógicos e inseguros y programas “A medida” que no se actualizan porque el programador “pide mucha pasta” por el update.

Me gustaría saber cuantas empresas forman realmente a los trabajadores en lugar de censurar, cuantas les dicen como ayudar a que los entornos de trabajo y con ello los datos estén a salvo. Como mucho activan el firewall del router pensando que estarán a salvo sin pensar en que los problemas vienen normalmente de un puesto en la red comprometido o susceptible de serlo. De la misma forma que piensan que para cumplir con la ley de prevención de riesgos laborales con dar un folleto explicativo vale, algún iluminado cree que por decir a un empleado “ten cuidado con lo que te bajas de Internet que entran virus”, soluciona sus problemas informáticos.

A la gente que lleve el mantenimiento que no tenga miedo a plantear cambios, políticas de restricción de permisos reales al estilo de Unix (aunque eso es impensable en equipos Windows hablando de servers y que me perdonen), pensar en cada elemento de la red interna como un “todo”, aconsejar el uso de programas alternativos a los típicos y comerciales que a veces son innecesarios e inseguros, no quiero ni pensar en cuantas empresas se arreglarían con un Open Oficce, al fin y al cabo, ese programa solo se usa como visor de las típicas presentaciones en Power Point que manda el Spammer casero de turno. El uso de navegadores como Firefox, la sustitución de programas como el Outlook, MS Oficce etc, charlas formativas, ayudar a evitar el “miedo al cambio”, políticas de contraseñas fuertes, con cambios frecuentes, no sensibles a ataques por diccionario, firewalls bien implementados etc etc etc.

Lo se, alguno me dirá que no se puede cambiar de sistema operativo porque usan ciertos programas, me parece muy bien, soy realista pero con cambiar alguna de las aplicaciones que enumero a grosso modo en el párrafo de arriba, el 40% de los riesgos potenciales de seguridad quedarían cubiertos.

Pero claro, eso cuesta tiempo, imaginación y sobre todo dinero, eso si, luego que no se lamenten. Efectivamente es más fácil pedir precio para cambiar de una vez ese lector de CD ROM que ni siquiera graba no vaya a ser que un empleado “gaste” más lector laser de la cuenta…

También me pongo en el lugar de alguien que ha estudiado informática / redes y accede al mundo laboral y le dice al cliente – “mire, puedo implantar el servidor DNS así como la gestión del router para dar entrada-salida a los equipos a la Intranet-Extranet en un servidor Linux que de acceso a equipos Windows o porqué no decirlo Mac y el coste será menor así como el riesgo para su empresa etc etc y que sucederá…

Yo ya se lo que sucederá en el 90 % de los casos porque está todo relacionado. Al final volvemos a lo mismo, las opciones, las alternativas. Que me perdonen si no defiendo a Windows, creo que estoy libre de sospecha porque en Daboweb, entre otros sistemas operativos, damos el mejor soporte que podemos a usuarios de Windows, yo defiendo mi opción, me toca estar en la minoría y a veces entre gente (no generalizo) que piensa que soy un Freak por usar Linux y un snob por tener un iBook blanco que cuesta menos que un portatil centrino en el que además de OS X tengo un Ubuntu instalado. Me da igual lo que piensen cuando digo que bajo el entorno gráfico que uso, un sólido núcleo Unix se encarga de gestionarlo todo. Estoy en esa minoría que cuando dice “correr un demonio” alguno piensa que voy a decir un taco -:), pero entender que tengo que defenderlas, Windows no lo necesita, de cada 100 veces que enciendes un equipo nuevo, unas 95 te encontrarás con su pantalla azul de bienvenida.

¿Qué tiene esto que ver? Seguridad informática = más cosas que el Norton Internet Security de rigor…

Dabo

iptables rules -:)

¿Quieres opinar?  >> artículo en DaboBlog

Tags: , , ,

Comments are closed.

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad