En el año 2,001 en una conferencia sobre seguridad informatica promovida por INICTEL (Peru), un catedratico de una prestigiosa universidad peruana decidio hackear la base de datos más importante de esta nacion y presentarlo como caso practico a su primera disertacion. Su presentación muy breve contenia una copia del Art. 208-A y 208-B del Codigo Penal Peruano, el codigo fuente de la pagina web, los estimulos y escaneos TCP/IP hacia los servidores de esa institucion, las enumeraciones NetBIOS, la conexion y autenticacion, y finalmente unos pantallazos conteniendo la tabla principal de la base de datos. A sabiendas que los funcionarios de esos servidores expondrian luego de El, se le pregunto ¿no tiene miedo presentar eso? Ud. comete un delito, A lo que el expositor dijo: No. Porque simplemente no he hecho nada ilegal (Dicho con un tipico acento de cientifico emocionado) .
Si usted es ciudadano peruano tranquilicese, el cielo no se esta cayendo, el terror no paso de un dia. Afortunadamente, un proveedor de seguridad presente en la conferencia, notifico rapidamente a los descuidados administradores de esa institucion. La idea era sacar a su debil servidor de base de datos, de la zona frontal de Internet. Sin duda una imprudencia garrafal, pero no es tema del presente articulo.
Senilando a los articulos 208-A y 208-B, el jaquer remarco que la palabra indebidamente habria sido la brecha, para atreverse a ingresar a esos servidores. Toda vez, que jamas lo hizo indebidamente, lo que a su entender significaba: sin romper ni traspasar ningun mecanismo de seguridad. Al parecer los servidores de base de datos estaban en la red frontal, con contrasenias por defecto. Por supuesto compete a los legistas opinar al respecto.
Similares situaciones a menor escala se producen en las empresas, donde se dictaminan las llamadas politicas de seguridad, a las que deben senirse los usuarios, pero que al ser tan escabrosas y antojadizas hacen que los usuarios y los administradores terminen enredandose como Twister. Complicando la operacion, hasta provocar finalmente el desacato de la misma, incluso por parte de quienes escriben la politica. Esta debilidad en las politicas de seguridad se produce de las tres formas siguientes.
Primero. Implantar politicas que no se adecuan a la realidad de la compania. Esto es muy tipico. Casi todos los administradores alguna vez se han visto en la necesidad de copiar o editar politicas de seguridad de otras companias afines ¿o no?. Como resultado de esta increible demanda por contar con politicas de seguridad como si fuera comida enlatada, usted ahora puede conseguir un compendio de 1360 politicas, “ready-to-use”, por sólo $795 en Amazon.
Aunque esas politicas hacen sentido a nuestra necesidad corporativa, muchas de ellas podrian tambien estar alineadas a otros instrumentos culturales, legales, tecnicos o tecnologicos que no contempla nuestro modelo de negocio. Esta situacion es la que abre vacios y brechas en nuestra politica. Segundo. Politicas de seguridad que no contienen mecanismos de control y sanciones por violacion de la misma. Es tipico creer que las politicas de seguridad no estan relacionadas a controles fisicos, logicos o tecnologicos. Esto se debe a que una politica aparenta ser un tema netamente documentario, mas no es asi.
Lo mismo sucede con los articulos 208-A y 208-B del Codigo Penal que citamos arriba. La razon es que el Codigo Penal no es suficiente a la hora de procesar al delincuente informatico, hace falta que los delitos esten tipificados en el Codigo Procesal. Debido a que el actual Codigo Procesal no tipifica casi ningun delito informatico, los cuales crecen dia tras dia, los policias informaticos de la nacion peruana no pueden presentar un atestado efectivo. Por ello, cazar delincuentes informaticos en el Peru, es cosa seria. Apelando al mal concepto de es mejor tener algo que no tener nada, diriamos que el escenario anterior es peor en aquellas naciones latinoamericanas que ni siquiera penalizan el delito. Sin embargo, saque la conclusion correcta. Si no ha contemplado el mecanismo fisico, lóoico o tecnologico que detecte la violacion a la politica, y no la ha acompanido de una sancion ejemplar, entonces, lo mismo da tener una directiva que no tener una. Tercero y ultimo. Politicas inviables en el dia a dia. Estas son aquellas disposiciones que simplemente no pueden llevarse a cabo nunca, o al menos de la manera deseada. En nuestro primer articulo de los 10 Grandes Errores de la Seguridad TI, hablamos extensamente de este caso, cuando nos referimos al tipico ejemplo de la politica de cambio de contrasenias.
¿De que sirve una directiva de seguridad que solo los expertos pueden entenderla? Peor aun, existen directivas, que ni siquiera los creadores mismos pueden cumplir. Por supuesto, para esto segundo sobran los argumentos. Como consecuencia de la creencia que es mejor tener cualquier política de seguridad que no tener ninguna, las practicas que se han venido desarrollando alrededor de esta, han provocado que las politicas de seguridad se vuelvan casi siempre obsoletas, desatendidas, evadidas, y finalmente “violadas”. En suma, hallamos que este nuevo error de la seguridad TI consiste en contar con politicas de seguridad mal redactadas.
0 comentarios:
Publicar un comentario