7 de enero de 2013

Mas alla de un Dispositivo de Seguridad y Políticas de Seguridad de la información.



No quise ser aburrido y colocar de titulo al articulo “¿Seguridad Informática o Seguridad de la Información? para no limitarme a estos conceptos y ser un articulo mas que busca tan solo diferenciar y describir estos conceptos, el objetivo de este artículo es plasmar mi experiencia y opinión personal frente a esta dos áreas diferentes pero similares, en las cuales me he podido desempeñar. 

Comencemos…

[1] He visto que normalmente las empresas suelen buscar la solución  frente a ataques informáticos, proteger sus datos o prevenir el acceso no autorizado, tomando como medidas la implementacion de appliance de última generación ofrecido por estas grandes empresas de seguridad proveedoras de "soluciones de seguridad" , creyendo, confiando e invirtiendo una gran suma de dinero, si bien es un factor importante contar con estos dispositivos de control (Firewall , antivirus, antispam,proxys,IPS), aun así, no es la solución de seguridad más efectiva para brindar protección adecuada a los recursos de la compañia.


Tips : Recordar también existen muchas manera de poder Bypassear algunos de estos dispositivoscomparto el siguiente articulo [fuente @ksha].

[2] Otra de la solución que buscan las empresa para resguardar sus activos de información y garantizar la integridad-confidencialidad-disponibilidad de la informacion es desarrollando normas, políticas de seguridad de la información, ejecutando diagnósticos y auditorías enfocadas a la seguridad (Ethical Hacking), proteger sus procesos críticos frente a desastres o grandes fallos de los sistemas de información(BCP - DRP) Backup y recuperación de información crítica, si bien son soluciones efectivas para hacer frente a incidencias, sin embargo, que sucede si desarrollamos normas y políticas de seguridad inentendibles para el usuario?, el usuario desconoce la existencia de este tipo de documentación o bien no existe control sobre el cumplimiento de estas normas ?, aun así, no es la solución de seguridad más efectiva para brindar protección adecuada a los recursos.
 

Resumiendo las dos soluciones indicadas anteriormente, mi opinión sobre donde está el problema, donde radica la solución y donde está el mayor riesgo es:
  • Elaborando extensos documentos, normas y políticas de seguridad de la información que los usuarios finalmente desconocen. ERROR: No difundir la cultura de seguridad informática dentro de la organización (capacitación, difusión, publicación, boletines de seguridad) ejemplo: usuarios desconocen que las normas y documentos están disponible en la intranet.
  • Falta de “buenas prácticas de seguridad” durante el ciclo de desarrollo de aplicaciones y sistemas por parte de los desarrolladores y siendo un poco duro me llama la atencion el desconocimiento de la palabra “seguridad en aplicaciones web”. He visto muchos casos y comparto un ejemplo muy básico, que desarrolladores desconocen que insertando una comilla simple se pueda  obtener información sobre la estructura de la Bases de datos. ERROR:  Nula inversión en los recursos y/o profesionales en cursos básico de seguridad en el desarrollo de aplicaciones, potenciar el desarrollo en lenguajes como: Javascript, Microsoft SQL Server, Microsoft .NET, ASP, Oracle, Postgre SQL, DB2, XML, ActionScript, Java, MySQL, XHTML, CSS, Flash, PHP,etc.  
  • Presencia en Internet, el sitio web corporativo es la lógica y el core del Negocio de cada cliente,  al momento en que se reportan fallas de seguridad en el sitio web, no existe la manera de establecer un canal formal o informal (contacto/comunicación) para reportar el análisis o los hallazgos detectados.  ERROR: crean cuentas de twitter para qué? formularios de contacto que solo sirven para hacer una cotización y consultas básicas, correos genéricos que no aportan nada contactenos@xxxx.cl, soporte@xxx.cl, info@xxx.cl,  si tenemos suerte y el destinatario recibe nuestro correo nos responden con un lindo y hermoso “Gracias, lo revisaremos” transcurre el tiempo y sorpresa!!, nos damos cuenta que no existe ninguna gestión sobre lo resportado y nulo manejo de incidentes de seguridad.
  • Diagnósticos y auditorías enfocadas a la Seguridad (Ethical Hacking). Generalmente las empresa se amarran a grandes contratos con empresas llamadas Especialistas en Seguridad Informática que sin problemas toman una herramienta automatizada, escanean la pagina web, realizan el análisis y posteriormente generan mas bien modifican el reporte y este es presentado al cliente, con cero valor de esas información, para el proveedor buenas ganancias $$$miles de$$$. ERROR: primera falta, no evaluar o realizar un Pentesting con distintos proveedores (para comparar hallazgos y el análisis), no se realiza la auditoria con especialistas en la materia, digo especialista y soy enfático ya que muchos profesionales agregan valor al análisis, en que sentido, minimizan los "falsos positivos" explotando la vulnerabilidad realizando un análisis de forma manual que permita de alguna manera atacar un activo critico de compañía con evidencias claras (acceso total a la base de dato de cliente, acceso a codigo fuente, bypass de login, etc). 

  • Lo más insólito que he leído y me ha tocado vivir que personas que ocupan grandes cargos en la empresa ya sean Gerente de Tecnología” Oficial de Seguridad Gerentes de Desarrollo Tecnológico Jefe de Seguridad TI al reportar una falla de seguridad te  responden con un “Ah, envíame lo que encontraste y si la situación lo amerita nos reunimos”, en mi carrera he aprendido que en seguridad, independiente del nivel de la amenaza, del impacto (alto, medio, bajo que este sea) los riesgos se deben manejar de las misma manera. ERROR: omito todo comentario, saquen sus propias conclusiones.
Para finalizar y dar alusión al nombre del artículo, la solución a los problemas de seguridad radican en la falta conocimiento, cultura , educación y conciencia de seguridad … no basta solo con dispositivos de seguridad y extensas políticas de seguridad de la información, si las amenazas/riesgos potenciales es el “ HUMANO”


[ Realidad segun mi punto de vista, se aceptan comentarios]

Saludos