La 5ta. razon del por que la seguridad TI no funciona en nuestras empresas, se debe a la Falta de Concientizacion en la Alta Gerencia. Nos referimos al aspecto general de la seguridad de la informacion, no pretendemos que un gerente general sepa de analisis forense informatico, ni de como rastrear intrusos, incluso muchos gerentes de seguridad de la informacion saben poco o nada de eso (Quizas solo Harrison Ford haciendo el papel de JaCk, el CISO de un banco americano, en la pelicula Firewall)
Aqui algunas de las frases que reflejan esta situacion: ¡A nosotros nunca nos pasara o Nuestra compania opera fuera del ambito internacional, su informacion no es codiciable o Nuestros servidores no tienen vista desde Internet, ningún hacker se introducira o nosotros recientemente adquirimos un firewall, ¿verdad Alberto?
A esto se conoce como seguridad por ocultacion, o si lo prefiere de su original en ingles security through obscurity. Y aunque le suene extranio, la seguridad por ocultación es considerada en los libros de texto de seguridad como una forma de manejarla. Una forma que podria resultarnos la mas equivocada.
He aqui algunos hechos mas en detalle:
- Enero 2004. Caidas de enlace en una importante red WAN generadas por paquetes provenientes de un nodo levanta sospechas de un servidor critico alojado en este. Se determina que el servidor estaba siendo usado como plataforma de ataque. Investigaciones forenses en el equipo determinan que un vandalo lo habia tomado hacia -un anio atras. El intruso aprovecho una vulnerabilidad en un desactualizado servidor Apache, donde corria el servicio critico, que a pesar de que no era publicamente conocido, si era publicamente accesible. En seguridad por la oscuridad, la gente dice: Internet no es un peligro, pues mi servidor no es conocido.
- Enero 2004. Caidas de enlace en una importante red WAN generadas por paquetes provenientes de un nodo levanta sospechas de un servidor critico alojado en este. Se determina que el servidor estaba siendo usado como plataforma de ataque. Investigaciones forenses en el equipo determinan que un vandalo lo habia tomado hacia -un anio atras. El intruso aprovecho una vulnerabilidad en un desactualizado servidor Apache, donde corria el servicio critico, que a pesar de que no era publicamente conocido, si era publicamente accesible. En seguridad por la oscuridad, la gente dice: Internet no es un peligro, pues mi servidor no es conocido.
- Marzo 2006. Desaparece la base de datos de una importante empresa comercializadora de equipos electricos. La excelente seguridad informatica en dicha empresa permite recuperar la ultima copia de respaldo, perdiendo solo un dia de informacion. En una pronta respuesta, los gerentes inician una investigacion forense, determinando que la base de datos habria sido borrada por una cuenta inexistente. Se sospecha de ex-jefe de TI, con privilegios para crear y borrar cuentas, que habria sido despedido dos dias antes. En seguridad por la oscuridad, la gente dice: Nuestros empleados de confianza jamás nos harían eso.
- Junio 2006. Otro vandalo informatico borra gran parte de las noticias que publicaba la asociacion civil Coordinadora Estudiantil por la Democracia y los Derechos Humanos del Peru. Ellos mismos declaran en su blog: nos sorprende que cosas como esta sucedan cuando el blog al que se ataca es un blog institucional que lucha en post de los Derechos Humanos y la Democracia. Sin duda, una desagradable sorpresa; pero como ellos mismos senialan es una hermosa tarea, y por ser hermosa diriamos entonces que tiene un valor, y quizas deba ser protegida ¿o no?
Todas estas historias y en particular la ultima, demuestra como se puede tomar conciencia a traves de la experiencia. Pero lo cierto es que no tenemos que llegar a este nivel para que nuestros gerentes tomen conciencia. A ellos no les compete lo tecnico, sino lo ejecutivo. Entonces, solo debemos iniciar la concientizacion de los mismos a traves de los principios correctos. No es necesario alarmarlos ni confundirlos, el hacerlo podria ser peor (moviendolos a mitigar equivocadamente el riesgo percibido y no el real).
Fuente Jack Security.com
Fuente Jack Security.com
0 comentarios:
Publicar un comentario