Por Christian Campodónico Ortiz, Gerente de Valor de Egs.cl.
Sin duda, es muy bueno que una empresa invierta en sistemas y tecnología que fortalezcan su seguridad, pero antes hay que hacer lo básico y realizar las tareas que damos por hechas pero que no estamos haciendo. Realizar pruebas, revisar privilegios, cambiar contraseñas, y fortalecer al usuario. La lista es amplia…
El Argumento del Equilibrio de Carl Sagan, o también conocido como estándar de Sagan, define que afirmaciones extraordinarias requieren pruebas extraordinarias. Si miramos las predicciones de ciberseguridad de distintas marcas para este 2019 nos encontramos con aquellas afirmaciones extraordinarias hechas por gente extraordinaria que entiende de seguridad. Con el pasar de los meses, poco a poco hemos comenzado a comprobar esas pruebas extraordinarias, nuevos ataques aprovechándose de viejos problemas. ¡Extraordinario!
Los ataques de inyección SQL fueron descubiertos en 1998, hace más de 20 años y hasta hace poco eran aún top 10 en Owasp. Es decir, el “Roger Federer” de los ataques. Pero ¿por qué ocurre esto? La respuesta no creo que sea solo una. Si aplicamos la duda metódica y dudamos de todo lo que creemos saber, llegaremos a lo básico, a lo mínimo, a lo que damos por seguro, pero en realidad poco estamos haciendo al respecto. Sabemos que no hay una segunda oportunidad para proteger la información importante y que no existe una única solución de seguridad que asegure toda mi operación, que no existe la “bala de plata”. Esto ya es un inicio. Debemos volver a lo básico, a realizar las tareas que damos por hechas pero que no estamos haciendo.
Gestionar la seguridad es una actividad transversal
El listado de tareas básicas que realizar es amplio: seguridad por defecto, seguridad por diseño, mínimos privilegios, registro de todo, planear la falla, pruebas frecuentes, múltiples factores de autenticación, cuidar los metadatos, reducir la superficie de ataque, asegurar al usuario, etc. Un largo etcétera de actividades básicas que se deben realizar en empresas que manejan información sensible y que las dejan en manos de “los de informática”, quienes, además de realizar sus actividades diarias, deben también gestionar la seguridad. Sin embargo, gestionar la seguridad es una actividad transversal que parte desde las altas esferas de la clase C de la empresa, pasa por los sistemas, los procesos y termina en las personas, la famosa capa 8.
Es muy bueno que una empresa invierta y ponga sistemas para el control de APT (Advance Persistent Threat), que correlacionen los registros en un SIEM (Security Information and Event Management) o manejen un sistema cloud con Big Data de indicadores de compromiso, pero antes de eso hay que hacer lo básico. Hacer pruebas, revisar privilegios, cambiar contraseñas, y fortalecer al usuario. Una buena campaña de concientización con test de phishing, malware y contenidos actualizados y entendibles por todos los usuarios hace más por la seguridad de la información que muchos sistemas encendidos en un rack gastando electricidad porque nadie se preocupa de sacarles provecho. Es aquí donde se habla sobre la importancia de adaptar la cultura de las compañías al entorno.
La 4ta revolución requiere replantearse el cómo hacemos las cosas y para esto, el apoyo de un buen partner que haga lo básico es fundamental. Equipamiento sin gestión, sin visibilidad o sin mejora continua, es solo un gasto extraordinario, no una inversión útil, ya que la seguridad no se compra, sino que se debe gestionar como una tarea continua. Como dijo el mismo Carl Sagan, en algún lugar algo está esperando ser descubierto. Si no hacemos lo básico, ese algo será la información de nuestras empresas.
Ante este contexto, ¿qué dices, construimos juntos el plan de acción para abordar los tópicos base de la Gestión de Seguridad de la Información?
Artículo disponible en Revista Gerencia aquí