Mis datos deben ser privados!… pero en público.

---

Alicia sufre un desmayo repentino en medio de una concurrida calle de una superpoblada metrópolis en alguna parte del mundo, en medio de una muchedumbre. Su pulsera detecta la caída repentina y manda un mensaje a la unidad de emergencia más cercana junto con su registro de identificación.
La unidad de emergencias recibe el aviso, y se pone en camino para el auxilio debido. En el trayecto, con el registro de identificación esta accede a la información médica de Alicia, y obtiene, enfermedades previas, indicadores básicos generales, alergias a medicamentos, etc. A la vez, se recaba la posición de los parámetros médicos de su ubicación actual que el dispositivo de muñeca se mantiene enviando.
Al llegar al sitio del suceso el paramédico tiene el instrumental necesario para la atención de primeros auxilios exactos que requiere Alicia, así como una clara idea de a qué prestar mayor cuidado. Realiza un escáner rápido de la huella digital junto con el reconocimiento facial, lo que confirma la identidad y procede a realizar los procedimientos planeados para llevarla prontamente a la mejor opción de centro asistencial indicado por el sistema, en razón de la urgencia del caso, su naturaleza, la distancia, el tráfico y la disponibilidad de atención.
Gracias a que su información se encontraba disponible para ser accedida por las distintas instancias participantes, Alicia fue atendida de manera rápida y precisa.

---

Estamos viviendo un momento en el que se está produciendo un punto de inflexión en lo que al concepto de privacidad concierne.

Pero, primero, revisemos definiciones buscando un punto de partida.

Según la RAE, privacidad se define, es su segunda acepción,  como:

Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.

Y privado, en sus dos primeras acepciones:

1. adj. Que se ejecuta a vista de pocos, familiar y domésticamente, sin formalidad ni ceremonia alguna.

2. adj. Particular y personal de cada individuo.

Como era de esperarse, las definiciones académicas no ayudan mucho y es necesario adentrarse en otras especulaciones.

No hace tanto, escuche a Kade Crockford, Directora del Programa de Tecnología para la Libertad de la ACLU de Massachusetts, referirse a la privacidad como una cuestión de control. Y, aunque ella como activista y defensora que es, se refería a la perdida de la privacidad a través del reconocimiento facial, como herramienta de control de un grupo sobre otro para dominarlo, dándole una pequeña vuelta al enfoque, me parece que efectivamente la privacidad se tiene mucho que ver con el control, pero más que entre grupos rivales, es el control y las decisiones que debo tomar sobre mi mismo, acerca de cómo, con quién y para qué revelo aspectos propios a un tercero. Por lo menos, hasta ahora.

La privacidad, como concepto y como práctica va evolucionando. Siempre lo ha hecho sólo que ahora nos vemos forzados a cambiar y lo notamos más.

Athur Clarke y Stephen Baxter, tocan este tema en parte de su novela «Luz de otros días» en la que una nueva tecnología elimina completamente la privacidad y la humanidad debe adaptarse a esto. El concepto de intimo o privado desaparece tal como lo conocemos, sin embargo la actividad humana continúa tomando este punto de inflexión como una oportunidad para evolucionar como raza.

Es similar a lo que pasa en la actualidad con la masificación de internet y la avalancha de información provocada por redes sociales. Actualmente en la práctica nuestra actividad es de alguna manera capturada y guardada en la nube siendo prácticamente imposible evitarlo o poner candados.

Nuestra resistencia al cambio, hace que busquemos desesperadamente la forma de que nuestros datos no sean visibles para quienes no queramos, sin embargo de manera contradictoria queremos que estén disponibles permanentemente para nosotros y nuestros «aliados».

¿Porqué? para que no se haga mal uso de ellos, decimos. Pero… ¿qué entendemos por mal uso?

Volvamos al tema de Kade Crockford y su enfoque acerca de que la privacidad no es un tema de ocultar información, sino que es acerca del control.

De acuerdo, un buen punto que da que pensar. Queremos tener el control de nuestra propia información para que esté disponible para quien queramos o nos convenga en un determinado momento. Así todo estaría bien.

Pero, pongamos un caso. Camino por una calle oscura y, como es habitual (o debería serlo), no tengo ningún dispositivo de geolocalización activado… por seguridad, según pienso. Sin embargo de pronto sale un delincuente, me apunta con un arma y me pide que vayamos a un cajero para sacar dinero y robármelo. ¿Tengo tiempo de activar la geolocalización? ¿o le pido permiso a mi agresor?. Y una vez activado, ¿cómo envío esta señal a la policía o a alguien que pueda auxiliarme?.

Entonces, podemos pensar en tenerlo siempre activado. Ahora todos pueden saber donde estoy en cada momento…. también los delincuentes (oh no!). Es una especie de calle sin salida.

Bien, pensamos decididos entonces, le daremos a una «Inteligencia Artificial» la decisión de identificar cuando estoy en peligro y dar aviso. Perfecto, ¿Pero no estoy entonces delegando el control a esta tecnología y de acuerdo a la definición de privacidad = control, estoy perdiendo privacidad?

También podemos posicionarnos en el supuesto que si todo el mundo sabe siempre donde estoy, «los buenos» siempre sabrán y eso disuadirá a «los malos», por lo tanto si eliminamos el control (premisa del libro) y todo se equilibrará solo.

Todo puede pasar, y podemos imaginar lo que queramos, siempre tendremos un punto ciego que no podremos resolver porque estamos prejuiciados con mantener los conceptos como los manejamos hasta hoy y pocas veces nos abrimos a pensar hacia el futuro evolutivamente, y aún cuando creemos que lo hacemos, es en forma limitada. Lo único cierto es que los cambios, en este caso tecnológicos, nos hacen perder el control de nuestra propia información, y el tema es saber hacia dónde se mueve este y cuál es la nueva manera de tener control, antes de decidir no tenerlo.

Es un tema complejo, pero mi intención más allá de ofrecer alguna respuesta mágica, es indicar la necesidad de desprendernos del prejuicio de que debemos mantener el concepto de privacidad tal como lo hemos llevado hasta ahora, e ir un paso hacia adelante evolucionando nuestras ideas preconcebidas (o preconcedidas) y encontrar nuevos paradigmas para esto.

Posiblemente nuestros datos aun deberán ser privados, pero en público.

El debate está abierto.

Perdidos en el bosque

Poco a poco, y casi sin darnos cuenta, nos hemos ido llenando de herramientas tecnológicas con el fin de proteger nuestros activos, también tecnológicos. Y por sobre todo mantener nuestra privacidad y nuestros datos sensibles a buen recaudo y lejos de ciberdelicuentes que pueden tomar provecho de ellos o hacer mal uso de los mismos.

El tema va incluso más allá del falso sentido de seguridad que da pensar que por haber instalado un antimalware o antivirus en mi dispositivo ya se está completamente protegido. «Ya está vacunado» se dice con cara de alivio, cuando ni funciona como las verdaderas vacunas, ni estas nos aseguran la protección total hacia alguna enfermedad.

Tampoco da mucho más protección el tener dos antimalware distintos instalados (a veces hasta más) que el sólo tener uno.

Definitivamente ya está demostrado que el comprar tecnología de detección / protección no es sinónimo de mayor seguridad y, por el contrario, al hacerlo y creer que lo estamos, nos expone de mayor forma.

De esto habla el artículo IT Governance (al que puedes acceder dando click acá) basado en un estudio de VMWare y Forbes que, aunque se realizó en UK, me temo que se repite sin mayores variaciones en cada uno de nuestros entornos.

Y el tema es que nos hemos concentrado en las tácticas y hemos olvidado la estrategia. Cuando las primeras sin la segunda, no nos conduce muy lejos ni es muy provechoso.

Explico brevemente esta última aseveración.

En términos generales, una estrategia es la manera como se logrará algún objetivo general, preocupándose de todos los aspecto que para ello se involucrará y generando directrices y métricas generales para revisar a mediano y largo plazo.

En cambio las tácticas se enfocan en aspectos puntuales que se deben resolver en el camino de la ejecución de una estrategia. No tienen tanto en cuenta el entorno a largo plazo del problema, sino que en el problema puntual propiamente.

Entonces centrarse sólo en las tácticas es como estar perdido en un bosque sin más puntos de referencias que los propios árboles cercanos, sin un mapa y sin saber hacia dónde se va. Tarde o temprano terminaremos dando vueltas en círculos.

Volviendo al tema de este artículo, vemos que en la práctica estamos reaccionando a los incidentes que se nos presentan o bien a aquellos que vemos cada día más frecuentes en nuestro entorno. Y nos volvemos compradores compulsivos de soluciones para tal o cual amenaza, para tal o cual vulnerabilidad. En el reporte se hace notar que el 74% de los encuestados planean invertir en nuevas tecnologías de detección a pesar que un número importante de ellas ya cuentan con ¡26 o más herramientas de ese tipo!.

No es de extrañar entonces que el lado oscuro vaya en la delantera y en franco aumento. Máxime si a lo anterior le sumamos la ya conocida brecha entre la demanda de profesionales de seguridad de la información y la oferta de ellos, que nos orilla a contratar individuos del lado oscuro «convertidos» para que se encarguen de las estrategias, cuando por su naturaleza son eminentemente tácticos. Tema que he abordado en ¿Porqué seguimos pensando que Messi puede ser un gran arquero?

¿Cómo salir de este problema entonces?

Evidentemente cubrir el espacio que nos estamos saltando y que ya no es posible ignorar. La Estrategia.

Esto consiste, en primer lugar levantar la vista de los equipos y la red, y ver con un poco más de panorama el ecosistema tecnológico y no tecnológico en el que está inmersa la información que queremos proteger.

Este ecosistema lo podemos esquematizar en tres grandes ámbitos:

1. Interno. Son todos aquellos agentes que sólo tienen contacto con otro agente interno o del límite.
2. Límite. Aquellos agentes que tienen contacto con agentes internos y agentes externos.
3. Externo. Aquellos agentes que sólo pueden tener interacción con agentes de límite, lo hagan efectivamente o no.

Podemos pensar que el objetivo general para nuestra estrategia es evitar que un agente Externo utilice algún agente del límite, para vulnerar a algún agente interno o de límite.

El problema actual es que, a diferencia de hace algunas décadas, el «límite» ya lo es prácticamente todo. Sólo debemos pensar en cada elemento que utilizamos para nuestra vida diaria y cómo ya cada uno de estos dispositivos tiene contacto con agentes extra red del negocio e intrared del negocio. BYOD ha impulsado enormemente al engordamiento de lo que llamábamos límite y que ya no lo es. Es, en mi punto de vista, el centro de donde debemos centrar nuestra estrategia.

Como comenté más arriba, lo primero para centrar nuestra estrategia es definir clareamente qué es lo que debemos proteger, y estos objetivos, no por ser generales deben ser menos precisos. Simplemente es el equivalente a la misión que tendría una empresa. Si piensas la ciberseguridad de una compañía sólo debes definir la Misión y la Visión de esta con respecto al negocio en el que lo aplicas y ya tienes un lineamiento hacia donde debes dirigir los esfuerzos de seguridad.

Y esto es muy importante porque la seguridad perfecta no existe, y por lo mismo necesitamos horizontes claros y priorizados sobre los cuales apoyar las tácticas que iremos utilizando y que son de naturaleza variante de acuerdo a las circunstancias del entorno que se presenten. Pero no se trata sólo de esperar a un ataque para reaccionar ( ya es demasiado tarde cuando esto ocurre y sólo nos deja la opción de activar los planes de emergencia y recuperación, si existen), no de sólo realizar evaluaciones de vulnerabilidades cada 5 minutos para luego mitigar algunas porque la continuidad del negocio no nos permite mitigar todas, ni de llenarnos de herramientas tipo murallas, fosos de cocodrilos o arqueros apuntando hacia afuera desde lo alto del castillo si todos estos están en el lugar equivocado.

Si sabemos lo que debemos proteger, debemos centrarnos en estos activos y analizar comportamientos.

SI, comportamientos. Tenemos que saber cual es el estado normal de las cosas en las tres capas mencionadas anteriormente, de modo que si detectamos alguna anormalidad poder utilizar todos nuestros juguetitos de seguridad tradicional de modo de aumentar o disminuir nuestra protección en consecuencia.

Por ejemplo, habitualmente todos tenemos correos maliciosos que nuestra herramienta antispam detecta y controla de acuerdo a algunos niveles que dejamos fijos. Pero, ¿Sabemos de donde vienen esos correos?

Si podemos saber esto, un aumento general del correo malicioso nos haría tomar decisiones de seguridad en un sentido, y si este aumento viene de un mismo sitio, sospechoso y con reputación de ataques, nos haría variar y tomar otro tipo de decisiones de seguridad. Es decir nuestra táctica de protección variaría dependiendo de las características del cambio sobre una línea base que llamamos «normalidad».

Aunque hoy en día tenemos herramientas avanzadas que se basan justamente en este principio de análisis de comportamiento tanto para la red interna, los dispositivos puntuales y de borde o análisis de la big data que se presenta en el entorno de nuestro objeto de protección, en general basadas en Inteligencia Artificial y de las cuales he podido evaluar un par con muy buenos resultados, no es necesario contar con ellas para empezar. Primero suelen ser bastante caras, y segundo si no sabemos nosotros qué analizar, estas herramientas quedarán subutilizadas.

Recomiendo una labor de análisis en cuanto a niveles básicos para empezar y ayudados de reportes (que la  mayoría de las herramientas tradicionales ya traen) acompañado de nuestro buen excel de siempre, para generar nuestros propios indicadores de «normalidad» para empezar y realizar comparaciones en el tiempo para aprender cuales son las variaciones aceptables y cuales no. Empieza con lo que sea, lo que tengas más a mano, sepas utilizar mejor o sea más crítico, pero empieza ya!

Esto sólo te consumirá horas hombre, pero en general es una inversión menor que una herramienta de última generación que sea subutilizada. Poco a poco en el camino irán surgiendo naturalmente las herramientas adecuadas para ti, y la inversión se justificará sola, además con la seguridad que se aprovechará completamente.

Si pensamos de manera holística permanentemente, cuando las circunstancias varíen la adaptación será más rápida.

…. Y podremos salir del bosque!

Cambio de década, ¿Cambio de paradigma?

Estamos viviendo una época en la que el peligro se ha vuelto una constante en nuestras vidas.

Al menos en lo que al mundo ciber se refiere.

Sin embargo seguimos haciendo lo mismo que hacíamos hace años para protegernos: comprar y comprar herramientas. Tanto que nos hemos hecho fanáticos, y cada vez que un ataque cuenta con la publicidad necesaria, las billeteras de las organizaciones se abren y nos preguntan por el nuevo juguete que «necesitamos» para protegernos de ese ataque en particular.

Y entonces seguimos repitiendo el mismo comportamiento que teníamos hace ya más de 40 años, en el que, ante el nacimiento y auge de los virus de equipos personales, entre más antivirus tuviéramos instalados, más seguros nos sentíamos. Las herramientas cambiaron, pero el comportamiento no.

Para el próximo año se espera que los ataques sigan en aumento y de acuerdo a algunas publicaciones especializadas el ransomware y el phishing mantendrán su reinado.

¿Qué hacemos entonces?

• Por una parte el primero se ha sofisticado tanto que es casi es imposible detectarlo hasta que el ataque es evidente, y en ese momento ya se empieza a modificar el ataque para que en la práctica el próximo sea de un malware completamente distinto y nuevo. En la práctica estaremos viviendo un ataque de día cero permanente.

Desde mi punto de vista, es necesario decidirse a generar en equipo humano dedicado a la inteligencia de seguridad para que en conjunto con herramientas de análisis de comportamiento en las redes (internas y externas) se pueda patrullar y analizar constantemente el ecosistema de la red y la nube, en busca de situaciones anómalas o sospechosas. Para esto dichas herramientas deben utilizar inteligencia artificial, que en conjunto con la inteligencia humana serán la clave del éxito.

• El segundo, es el más simple de utilizar por los atacantes, ya que es una técnica que se ha usado desde incluso antes del nacimiento de esta era tecnologizada, y la víctima es justamente el componente humano, para el cual no es posible aún comprar una herramienta que le impida caer en los trucos que utilizan los cibercriminales.

Sólo nos queda profundizar en campañas que les permita a cada uno contar con  el mayor número de criterios para que la protección la ejerza cada quien, de acuerdo a la cultura de ciberseguridad con que se cuente. Hay que intentar por todos los medios que esta cultura permee profundamente dentro de nuestro ser, del mismo modo que en el mundo físico nos enseñan desde niños a no abrirle a extraños o a mirar a ambos lados de la calle antes de cruzar. Así de básico es el nivel que tenemos en este aspecto.

Lo demás: Nuevas herramientas, Pruebas de penetración, Análisis de Vulnerabilidades, etc. Deben continuar haciéndose. Es parte de la ciberhigiene permanente, y nada de lo anterior las descarta. Sin embargo estas últimas están más orientadas a la táctica de seguridad, y en lo hemos fallado es en la estrategia. No tenemos una. Sin estrategia estamos condenados a siempre ir detrás de los chicos malos, la clave para dar el salto es empujarla sin dudas o temores. Creo firmemente que sin duda cuando generemos estrategias en las cuales soportar y generar las tácticas adecuadas, empezaremos a dar vuelta las tendencias.

Sin embargo, por lo pronto espero que en este año que viene, iniciemos este camino y dejemos de pensar que entre más juguetes tenga, más seguro estaremos.

 

¿Porqué seguimos pensando que Messi puede ser un gran arquero?

El Incidente

Mayo 2017. Telefónica España, entre otras compañías, sufre un ataque masivo de ransomware.

Los que seguimos este caso, también recordamos los esfuerzos que hacía Chema Alonso, (el encargado de la ciberseguridad de la empresa) por bajarle el perfil o de plano deslindarse del problema.

Diario el Mundo en su versión electrónica escribía:

Muchos usuarios de Twitter están culpando a Alonso de contradecirse, pues en sus tuits niega estar dentro de Telefónica y que la seguridad no depende de él directamente a pesar de que en la web corporativa de la compañía se asegura que es «responsable de la ciberseguridad global y de la seguridad de los datos».

El encargado

Chema Alonso es un afamado hacker español. Probablemente el de talla más grande en ese país y dentro del grupo de los más capaces dentro del nivel mundial. Su biografía menciona que es ingeniero en sistemas y doctor en Seguridad Informática por la Universidad Rey Juan Carlos de Madrid (Aunque Hoy no está publicado ese doctorado en la página de dicha Universidad).

Una infinidad de premios y artículos eminentemente técnicos realmente brillantes.

¿Cómo puede ser, entonces, atacada esta empresa y tener éxito?

Más allá de las respuestas tipo, nadie es perfecto o al mejor cazador se le va l

a liebre, en mi opinión la explicación va por el tema de las competencias necesarias para cubrir en el puesto de encargado de seguridad.

La actividad de un hacker puede resumirse en encontrar una vulnerabilidad y concentrarse en revisar las distintas maneras de explotarla, para luego concentrarse en construir y usar las herramientas necesarias para ejecutar la forma seleccionada hasta completar su objetivo.

La actividad de quien defiende los sistemas de información, es preocuparse de eliminar o mitigar todas y cada una de las vulnerabilidades existentes, conocidas o desconocidas, de modo de prevenir, detectar y evitar que la información que contienen sea afectada o vulnerada de cualquier manera.

¿Pueden ver la diferencia?

El incidente mencionado es sólo un ejemplo de lo que en algunas organizaciones está pasando. A la luz de que los ciberataques han ido en aumento, la necesidad de profesionales que nos permita estar preparados para estos, prevenirlos, detectarlos y, en dado caso, reaccionar adecuadamente se ha vuelto una carrera contra el tiempo y contra la carencia en el mercado de este tipo de perfil.

Se ha volteado a ver, entonces, justamente a quienes de alguna u otra manera tienen las habilidades necesarias para vulnerar la seguridad de las empresas, convirtiéndolos al lado “blanco”, con la es

peranza que si saben por dónde entrar, puedan contener a sus colegas en sus intentos por hacer lo mismo.

Lamentablemente, con este proceder las organizaciones aún estarán muy lejos de generar una estrategia de seguridad integrada, y se seguirán llenando de herramientas para detener los distintos tipos de ataques. Los que estén de moda en ese momento.

Estamos utilizando mal nuestras fichas.

Creemos que llenándonos de delanteros exitosos y habilidosos en todas las posiciones de un equipo de fútbol soccer, tendremos garantizado el ganar todos los partidos y no es así.

De cualquier manera la solución no es, desde mi punto de vista, pensar que hay que dejar de lado a los expertos en ataques y revisión de vulnerabilidades. Lo que hay que entender es que cada elemento dentro de un esquema de ciberseguridad, debe tener el perfil de competencias adecuados de forma que puedan realizar con completa libertad y confianza sus actividades específicas, además de interactuar de manera natural con los demás actores de este ecosistema.

En mi concepción, estos actores en general se pueden clasificar en dos Internos y Externos (o de apoyo)

Internos.

Al interior de una organización hay que establecer, no siempre formalmente, dos áreas básicas: una centralizada que debe tener a su cargo la estrategia y el análisis de información, y una distribuida que debe ejecutar las directrices que el primer grupo define. Llamo a los primeros INTELIGENCIA y a los segundos EJECUTORES.

Así es como se configura el siguiente diagrama de acción.

Los miembros de Inteligencia, deben ser capaces de ver el amplio espectro de posibilidades de ataque, conocer las prioridades de la compañía, y establecer las prioridades con que deben abordarse las distintas amenazas de acuerdo a la valoración que se haga del daño potencial. Hay que recordar que siempre hay más que proteger que recursos disponibles, así que la habilidad que este equipo tenga para optimizar estos recursos con las estrategias adecuadas es fundamental. Estamos hablando de defender y no de atacar.

También hay que notar que los Ejecutores no pertenecen, necesariamente, al equipo de seguridad de la información, sino que en su mayoría son externos como por ejemplo:

1. Infraestructura: poniendo en marcha y manteniendo herramientas de seguridad perimetral y de patrullaje de la red.
2. Desarrollo: Incluyendo en sus aplicaciones los códigos necesarios para asegurar la seguridad en el uso de estas.
3. Usuarios: Respetando activamente las políticas y procedimientos, además de participar activamente en campañas de generación de cultura de seguridad

 

Externos.

Por otra parte, todo esquema de seguridad requiere ser revisado y probado periódicamente. En este punto los Atacantes de sombrero blanco son bien recibidos, ya que con sus habilidades pueden poner a prueba la estrategia que el equipo interno implementa.

No es conveniente que estos actores pertenezcan a la organización, ya que es importante que no conozcan de antemano ni las estrategias, ni las herramientas de seguridad implementadas. Pero a la vez, debe ser un equipo en el que se tenga confianza de su integridad, más allá de su experticia. Hay que recordar que conocerán las debilidades que puedan tenerse, por lo que se debe estar razonablemente seguro de que nos harán saber la totalidad de hallazgos encontrados.

Conclusión

Con este esquema organizativo, podremos entender mejor las competencias necesarias para cada actor dependiendo del equipo en el que se encuentre. Más aún, es sencillo de implantar ya que hace uso de elementos que ya existen dentro de cualquier organización como son el equipo Ejecutor. Sólo hay que concentrarse en el equipo de Inteligencia, que bien puede conformarse de una sola persona inicialmente. Mientras que con el equipo externo, se puede esperar a que haya una madurez adecuada y contratarse de manera eventual si así se considera necesario.

Cada golpe nos deja lecciones que hay que aprender, supongo que la compañía con la que inicié ejemplificando la realidad de muchas otras, lo ha hecho también. Lo importante no es finalmente los nombres con los que se cubren las distintas posiciones sino que las habilidades sean las adecuadas. No podemos poner a Messi al arco y esperar que sea un buen portero, su función es atacar.

Quiero llorar… o el último ataque.

Una de las lecciones que  nos ha dejado el último ataque de ransomware, es que nunca estamos (ni estaremos, en mi opinión) preparados para un ataque de programas maliciosos.

La razón es muy fácil: el factor humano.

El vector de penetración utilizado es un mail atractivo, o que simula alguna información interesante / importante para la persona que lo recibe. O bien, un link de internet.

Si bien es cierto que se ha publicado mucho de que este virus en particular aprovecha una vulnerabilidad conocida de Microsoft, la realidad es que el ingreso o infección inicial, no dependía de esto, sino que de la curiosidad y desprevención natural de los seres humanos.

¿Se puede disminuir la propagación mediante mantener actualizado windows? Definitivamente, si. Sin embargo esto sólo lo controla, no impide la infección inicial.

¿No importa entonces si no tenemos la actualización? Definitivamente SI IMPORTA. No es lo mismo tener una epidemia descontrolada que a algunos enfermos en cuarentena y bajo observación.

Por otra parte, no olvidemos que la desactivación del virus, oficialmente es el hallazgo de un «interruptor» en el código que verificaba la existencia de un dominio para desactivarse.  Esto me parece extraño y riesgoso. Extraño por la obviedad que estando tan expuesto en el código, ante una ingeniería inversa éste quedaría rápidamente expuesto. Y también por la, a mi juicio, falsa seguridad que se obtiene de la difusión de que el ataque «fue controlado, o desactivado». Dependemos de que el dominio siga activo.

Por otra parte, ya inician los rumores de una mutación de este malware que podría haber corregido esta debilidad.

¿Y en nuestras empresas qué deberíamos hacer?

Lo primero es tener un área dedicada a la seguridad de la información, tal como he revisado en «Seguro… ¿Seguro?». Si no nos tomamos en serio este tema y seguimos pensando que es cosa de un Antivirus y un Firewall, poco podremos hacer.

Y las acciones que esta área debería tomar, no sólo ahora, sino que permanentemente son:

1. Comunicación, comunicación y comunicación. Hay que tener una actividad constante de difusión de buenas prácticas en las que se les recuerde permanentemente a los usuarios de las políticas de uso de los medios tecnológicos disponibles…. y sobre todo NO ABRIR ARCHIVOS ADJUNTOS, en los que no esté seguro que es un algo que me han mandado y que yo sabía me iban a mandar.
2. Tener una visión estratégica global de la seguridad de datos. Si no basta con tener un par de dispositivos de filtro, ¿qué se necesita?. Pues que estos dispositivos trabajen orquestadamente de acuerdo a una política general dictada por las necesidades del negocio, y que se incluya en esta política las variables no técnicas (por ejemplo, los usuarios).
3. Por último, un buen respaldo y un plan de acción de recuperación si todo falla, siempre nos salvará la vida en un caso extremo.

Sé que esto probablemente ya se haya dicho anteriormente, sin embargo creo que no hay que perderlo de vista.

Seguro…..¿Seguro?

Cada vez que leo un artículo, o asisto a un encuentro de seguridad de la información (no me gusta el término de Ciberseguridad), siempre se plantea la necesidad de ver la seguridad como un todo orgánico, y en el que las partes que la componen interactúan entre sí. Incluso tenemos ya la figura del CISO, quien «es el responsable máximo en planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.» (Wikipedia, 2016)

Sin embargo, en cada compañía a la que he llegado, el tema de la seguridad de la información está delegado en particular, a cada subarea de sistemas, la que se encarga de gestionarla, de aplicarla y de revisar que no haya desviaciones. Así, el area de infraestructura es donde recae la mayor responsabilidad de aplicar seguridad, ya que es la responsable de establecer el firewall, instalar los antivirus, y controlar los usuarios de dispositivos.

Aunque tal vez para empresas no muy grandes este estado de cosas puede funcionar relativamente, para empresas en las que la división de funciones de TI está medianamente delimitada, esta visión de las cosas es, en si, un riesgo ya que cada actor se convierte en juez y parte, de modo que los controles con el tiempo se vuelven ineficaces y la rigurosidad que requiere el resguardar la información de la compañía se va diluyendo a medida de que pasa el tiempo.

Poco a poco, y lamentablemente gracias a los golpes recibidos, hemos ido aprendiendo que la seguridad de la información es algo de suma importancia y multidimensional en la empresa. Ya no se trata sólo de poner un firewall o un antivirus para sentirnos seguros. Ahora hay que revisar múltiples aspectos.

Para esto he estado revisando un esquema que me ayuda a dar una organización rápida y que me permite visibilidad inmediata a las fortalezas y debilidades, que tengo y que me falta en lo básico para poder asegurar la información.

Podemos agrupar la forma de actuar frente a un problema de seguridad, de manera PREVENTIVA o REACTIVA. El primer concepto se refiere a tratar de anticipar lo que puede suceder, revisando cuales son los puntos débiles de la organización de la información, y en consecuencia prevenir que se concrete algun evento que afecte la integridad de la información que se tiene en resguardo. El segundo concepto se refiere a que, ya una vez concretado el daño, la manera más adecuada para restaurar el estado original en que estaba la información.

Por otra parte es importante determinar un responsable de la seguridad de la información, que se encargará precisamente de generar las directrices con la cual se debe aplicar una visión sistemica de arquitectura de negocios y las diferentes areas como infraestructura, soporte, operaciones, desarrollo, o cualquiera que sea con las que se ha organizado TI en cada compañía en particular, sólo se encarguen de implementar y ejecutar las directrices que el area de seguridad de TI dictamina. Con esto se separa la gestión de la ejecución y ninguna parte se transforma en juez o control de si misma.

Ahora que ya sabemos la manera de actuar y no tenemos conflictos de interés al separar responsabilidades, hay que generar una visión holística del problema, y para eso no he encontrado una herramienta que pueda adaptar completamente a la organización que se está revisando en el momento, que además sea práctica y de rápida creación. Por lo tanto, tomando ideas y conceptos de diferentes partes, genero una revisión rápida que responderá a las siguientes preguntas fundamentales: ¿Qué quiero proteger?, ¿Cómo lo quiero proteger? y ¿Con qué lo voy a proteger?.

¿Qué quiero proteger?

Para tener en mente siempre de manera lo más global posible lo que se debe proteger, me he planteado un esquema de cuatro niveles lo que me permite tener siempre presente todo el espectro, y a la vez tener manejabilidad al tenerlo dividido en capas. Estas son las mismas, ya sea que esté pensando preventivamente o reactivamente.

Estos niveles son:

• Infraestructura física: Se refiere a todo el hardware involucrado en la red, como por ejemplo las redes, los servidores, los dispositivos intermedios, equipos de cómputo de los empleados, etc.
• Plataforma: Es el conjunto de programas y sistemas básicos que permiten la operatividad de los sistemas de usuario, incluye entre otros: Sistema Operativo, Bases de Datos, Sistemas Utilitarios como Directorio Activo y correo electrónico, etc.
• Sistemas: Son los sistemas que son usados para la operación del negocio como : ERP’s, CRM’s, PLM’s, etc.
• Usuarios: Son todas las personas que tienen acceso a los sistemas de la compañía en cualquiera de los otros niveles.

¿Cómo lo quiero proteger?

Con esto identifico la estrategia a seguir.

Las opciones entre las que se debe decidir desde el punto de vista preventivo  son si se va a bloquear completamente el acceso o sólo limitar. Las acciones de bloqueo tipicamente se presentan en los niveles de Infraestructura física y Plataforma;  mientras que las de limitación son el los dos niveles superiores. Aunque es posible considerarlas para cualquier nivel.

Desde elpunto de vista reactivo, las opciones son  reentrenar, recuperar, o reemplazar. En este caso el reentrenamiento sólo aplica para el nivel de usuario, ya sólo son las personas las capaces de aprender;  y la recuperación a los niveles de sistemas y plataforma. El reemplazo lo aplico básicamente a equipos, pero es posible plantearlo como alternativa en los otros dos niveles.

¿Con qué lo voy a proteger?

En este punto, hay que decidir de acuerdo a la estrategia definida en los puntos anteriores, las herramientas que se deben implementar en cada nivel o combinación de niveles, es decir con qué vamos a contar : Firewall, Antivirus, Antispam; si se generarán roles de seguridad, políticas y procedimientos de upgrades y fixes, politicas y procedimientos de usuarios, si se requiere espejamiento de servidores, sites alternos, redundancias, respaldos, los instaladores de las aplicaciones o sistemas, manuales y tutoriales, etc.

En este punto, es práctico tener un excel en el que visualicen los niveles, la estrategia, el tipo de estrategia y las herramientas. Se puede incorporar tambien el área responsable de aplicarlas y el encargado de seguridad puede utilizar esta tabla para realizar su plan de revisión y auditorías para asegurar el cumplimiento.

En caso de que con esto descubramos que faltan herramentas para cubrir un nivel o area, se puede usar como tablero de control en el que se le puede poner fecha y tareas para implementar lo que falta.

Con esto se obtiene un plano general de la arquitectura de seguridad, fácil de entender y de realizar y que debe en todo momento tener presente quien encabeza el area de gestion de seguridad, que le permitirá a su vez planear y saber quién debe ejecutar la herramienta, procedimiento o política, sobre los cuales debe realizar revisiones periódica para asegurar que se apliquen con la misma intensidad a través del tiempo.

Wikipedia (2016). Oficial de seguridad de la información. Obtenido el 20 de Septiembre 2016 de: https://es.wikipedia.org/wiki/Oficial_de_seguridad_de_la_información