Los 6 pecados de la seguridad

Para las empresas, la seguridad de las infraestructuras informticas fue claramente la problemtica ms preocupante del ao que acaba de terminar y lo seguir siendo, probable y desafortunadamente, por muchos aos ms. Por esta razn, nos hemos parado a reflexionar sobre las principales amenazas que acechan la seguridad corporativa en 2006. Estas amenazas no son nuevos virus ni hackers, sino "pecados" que cometen los directores de informtica y oficiales de seguridad, pecados que tienen que redimir si quieren vencer los peligros y tentaciones que les esperan por el camino. Estos son los 6 pecados de la seguridad. 1. Indiferencia: "Si hasta ahora no ha pasado nada malo, nada malo pasar" Aunque parezca increble, una de las actitudes ms comunes entre los directores de informtica y seguridad es simplemente no adoptar ninguna medida ni poltica de seguridad porque piensan que nada malo les pasar y que si les llegara a pasar ya lo solucionarn cuando llegue el momento. Algunos cometen este pecado por orgullo (no quieren reconocer que necesitan mejorar la seguridad de su infraestructura), otros por ingenuidad (creen que es imposible que algo malo les pase) y otros ms por falta de preparacin (quisieran hacer algo, pero no saben por donde empezar). Es completamente errado pensar que los ataques a la seguridad de la infraestructura pueden ser solucionados despus de que hayan ocurrido. La nica alternativa es poner en pie, inmediatamente, medidas de seguridad que sean capaces de prevenir posibles ataques. La existencia de leyes y normativas debera obligar a los directores de informtica a deshacerse de esta peligrosa inercia, pero hay empresas que simplemente no respetan estas leyes pensando, ingenuamente, que nunca sern descubiertas. 2. Pereza: "Si paso las auditoras no tengo que preocuparme de nada ms" Muchos directores de informtica se preocupan nicamente de pasar las auditoras y piensan que si las han pasado, el trabajo ya est hecho y no existe ningn riesgo. Pero el hecho de pasar una auditora no significa estar inmune a las amenazas. Un buen director de informtica est obligado a imaginar y prevenir todas los riesgos posibles que existan, por poco crebles e improbables que sean, porque justamente son los ms peligrosos. Si se produce un robo de datos o un borrado accidental de informacin valiosa, de nada servir defenderse diciendo que las auditoras se pasaron correctamente. 3. Comodidad: "Seguir el camino ms corto para cumplir con una ley" Hay mltiples leyes y normativas de seguridad, privacidad e integridad de datos corporativos

(SOX, HIPAA, leyes de proteccin de datos y privacidad, etc.) en todo el mundo. Algunos directores de informtica creen que lo importante es cumplir con lo que establece la normativa y evitar una multa de la forma ms rpida y fcil. Quiz as cumplan la ley, pero estarn desaprovechando una excelente oportunidad de revisar y mejorar su poltica de seguridad aprovechando los consejos y buenas prcticas que fundamentan esas leyes o normativas. Si se entiende una ley slo desde el punto de vista de una obligacin que hay que cumplir para evitar un castigo, se va por muy mal camino. Hay que entender las leyes y normativas como oportunidades para mejorar la seguridad empresarial, prevenir nuevas amenazas y producir beneficios tangibles de negocio a travs de ello. 4. Soberbia: "No necesito una poltica oficial de seguridad" Muchas empresas van improvisando sus medidas de seguridad da a da, sin una planificacin clara, sin proyectos a futuro, sin objetivos precisos y sin normas de conducta para el personal interno. Debe existir una poltica oficial de la empresa en materia de seguridad que todos los empleados conozcan, no slo para permitir una planificacin correcta, sino para demostrar que la empresa verdaderamente est comprometida con proteger la seguridad de sus datos corporativos y prevenir conductas indeseadas por parte de sus dependientes. 5. Precipitacin: "No es necesario probar una nueva tecnologa antes de implementarla" Una actitud peligrosa y demasiado extendida es aquella de quedar encandilados por nuevas tecnologas y productos, queriendo implementarlos inmediatamente en el ambiente de produccin. Pero, se conoce suficientemente la nueva tecnologa que se va a implementar? Se saben las fallas de seguridad que puede tener? Tiene "puertas abiertas" que pueden aprovechar hackers e intrusos? Alguien la ha probado a conciencia y sabe que es fiable y segura? Hasta que una tecnologa no est suficientemente madura y haya sido cuidadosamente probada no se pueden saber los peligros que esconde, y por lo tanto, no debe ser implementada en un ambiente normal de produccin. 6. Exceso de confianza: "No protejo los sistemas de desarrollo porque no estn expuestos" Normalmente se tiende a creer que los sistemas de desarrollo del departamento de informtica no estn expuestos a las intrusiones y peligros de seguridad que afectan a los sistemas de produccin. Se dice que los sistemas de desarrollo no estn en contacto con el exterior como los de produccin y que no guardan datos crticos de la empresa, por lo que se tiende a no protegerlos ni a aplicarles las mismas polticas de seguridad que se aplican al entorno de produccin.

Pero actuando de esta manera se olvidan dos cosas importantes: 1. Los desarrolladores necesitan testar las aplicaciones que desarrollan y para ello no hay nada mejor que hacerlo con datos reales, por lo que muchas veces utilizan datos crticos de la empresa (sueldos, listas de clientes, informacin de tarjetas de crdito, etc.) para llevar a cabo sus pruebas. Esto significa que los sistemas de desarrollo s guardan datos crticos y que por lo tanto deben ser protegidos como cualquier otro sistema de proteccin. 2. Los desarrolladores normalmente tienen perfiles y permisos ms potentes de los que realmente necesitan y pueden acceder a informacin crtica que no es necesaria para llevar a cabo sus tests, por lo que hay que limitar sus permisos, evitando que los sistemas de desarrollo sean una puerta abierta a los datos cruciales de la empresa. Si quiere ir al paraso de los directores de informtica, le aconsejamos que se abstenga de cometer estos gravsimos pecados.