21 diciembre 2012

Hola, hola, ¿se escucha bien por ahí?

Luego de un tiempo vuelvo a compartir un punto de vista, que ha surgido a partir de cubrir el primer día del  #6enise y de un comentario posterior de mi amigo Gastón Rivadero (@derlok_epsilon) que decía más o menos algo así: "¿No te queda la sensación de que todo termina en un grupo de gente que se junta a decir más o menos lo mismo, pero nadie lo hace?"
Creo que su lectura es acertada, y es que ¿no les parece que en definitiva terminamos todos los profesionales de seguridad diciendo lo mismo? voy a destacar algunos puntos para intentar mostrarlo:

|- El ser humano es el eslabón más débil


Nada más cierto, los ataques lo demuestran, desde campañas de phishing bien absurdas hasta la más compleja de las APTs, todo termina en un usuario que sin mucho cuidado hace click en algo que aprovecha una vulnerabilidad y listo, ya estamos adentro.
Hay que concientizar (o como diría un amigo, "acojonar"), esa generalmente es la conclusión, incluso requerido por más de una ley o regulación, pero entonces, ¿por qué no se hace?
|- No se parchea

Otra gran verdad, se suele ver aún en la más crítica de las infraestructuras ausencia de parches de seguridad, así como también en los puestos de los usuarios, esto último quizás potenciado por la falta de un catálogo de software aprobado, limitación de privilegios en los usuarios, etc, etc. ¿por qué no se hace?






|- El perímetro es el usuario (sus aplicaciones y dispositivos)
Coincidimos en esto hace un tiempo, pero fue necesario que el usuario lo demuestre llevando su dispositivo al trabajo, dando lugar a una sigla bien simpática "BYOD". Ahora que justo habíamos terminado de configurar el firewall e inventariar las desktops, se les ocurre comenzar a utilizar sus propios dispositivos :S
¿por qué vamos tan atrás?

|- Es necesario un inventario

Pues que cierto que es esto, necesitamos saber qué tenemos!!
¿Por qué salimos a implementar medidas sin contar con un inventario? ¿Por qué nos preocupamos por el ROI, si antes no conocemos los riesgos, a qué activos impactan y qué valor tienen?
Debemos relevar los activos, catalogarlos, y realizar análisis de riesgos, las regulaciones lo exigen, así como varios estándares de seguridad y ahora las estrategias nacionales de ciberseguridad. ¿por qué no se hace?
NOTA: es bueno saber que ahora las telcos saben que tienen redes industriales ;)


|- Hay que gestionar los incidentes de seguridad



Otra gran verdad, sin embargo en muy pocos lugares se nota alguna preocupación por la conformación de grupos de respuesta a incidentes. En verdad, en muchos lugares todavía están definiendo cuestiones más elementales. Ya habrá tiempo para este tema, o esperaremos que nos pase. Creo que la gente de Diginotar pensaba algo así. ¿por qué no se hace?



La lista de temas sigue, y seguro coincidimos en muchos, aunque en otros tengamos alguna diferencia. Ahora bien, creo que habría que comenzar a debatir el "¿por qué no se hace?", y digo esto luego de ponerle como título al post "Hola, hola, ¿se escucha bien por ahí?", ¿acaso es un problema auditivo? creo que en realidad todos los que estamos de acuerdo en estas premisas y tantas otras, deberíamos comenzar a replantearnos las estrategias de comunicación. 

Claramente el resultado demuestra que hemos fallado, y digo esto, sin obviar que en muchos lugares las decisiones están en manos de gente irresponsable (incluyendo a nuestros políticos), pero en muchos otros lugares, seguimos preocupados por convencer a Jefe de Sistemas, Desarrollo o a nuestro propio Jefe de Seguridad, cuando en realidad nuestro público debería estar a otro nivel. En definitiva, quizás deberíamos aprender a jugar al golf :)

Contribución gracias a Mariano M. del Río
Tomado de: http://www.securitybydefault.com/2012/10/hola-hola-se-escucha-bien-por-ahi.html

No hay comentarios: