Cómo apestar en Seguridad de la Información

Hace muchos años me topé con un texto que ha sido fuente de consulta y que lo he citado muchas veces desde aquel entonces en diversas charlas o capacitaciones en seguridad. Se trata de la guía "Cómo apestar en Seguridad de la Información" (How to suck at information security, en su idioma original) desarrollada por Lenny Zeltser y publicada por el SANS ISC. Es un excelente resumen de las principales cosas que no debemos hacer cuando gestionamos la seguridad de la información en la empresa. El listado consta de 52 cosas que no deberíamos realizar como CISO, oficial de seguridad o cualquier otro puesto relacionado. Aunque alguna que otra puede quedar un poquito obsoleta con el paso de los años, mayormente el listado sigue muy vigente. Rememorando dicho contenido (que puede ser consultado en su formato original en el enlace superior), se me ocurrió no solo compartirlo con ustedes sino también intentar identificar de esos controles, cuáles son a mi criterio (y por qué) los diez ejemplos más importantes de que estás apestando en seguridad de la información.
Esta es mi selección de entre todos los controles, que luego podrán ver segmentados en cinco categorías: Politicas de seguridad y compliance, Herramientas de seguridad, Gestión de riesgos, Seguridad operativa y Gestión de contraseñas. Ahora, sí, el TOP 10, cómo apestar en seguridad de la información.

1. Crear políticas de seguridad que no puedes hacer cumplir: es un error muy frecuente en las organizaciones, pecar de “paranoicos” al momento de redactar las políticas pero después estas son tan poco aplicables y controlables, que pasan a ser un documento más de los que los usuarios ignoran día a día.
2. Pagar a alguien para que cree tu política de seguridad sin conocimiento alguno sobre el negocio y sus procesos: tercerizar servicios en seguridad de la inforamción es una excelente solución para el amplio alcance de la materia hoy en día. Sin embargo, la redacción de las políticas de seguridad debe ser realizada con conocimiento del negocio y sus procesos y no puede ser realizada solo por un consultor externo (al menos que este haya pasado un proceso de mucho tiempo dentro de la organización).
3. Instalar las soluciones de seguridad por defecto sin analizar previamente ni personalizarlas: es muy frecuente  encontrarnos en las empresas situaciones donde los clientes reclaman funcionalidades o configuraciones que nuestro producto ya posee, solo que deben ser administradas por los responsables de su gestión en las empresas. Es una situación cotidiana entre quienes proveemos software de seguridad y es un mal hábito no explorar el alcance de las soluciones y procurar personalizarlas para las necesidades de la empresa evitando la mera instalación por defecto.
4. Ejecutar periódicamente análisis de vulnerabilidades pero no dar seguimiento a los resultados: muchas veces organizaciones realizan análisis de vulnerabilidades periódicos y los resultados no varían mucho de un análisis a otro. Invertir en este tipo de consultorías y no dar seguimiento es un claro ejemplo de cómo desperdiciar el dinero de la empresa, ya que siempre estos servicios requieren de trabajo posterior para dar seguimietno y corrección a los hallazgos y resultados de la consultoría.
5. Poner a alguien responsable de la gestión de riesgos pero no darle a esta persona poder de decisión: otro error muy frecuente, tener gente muy especializada, que sabe hacer su trabajo pero que no tiene autoridad o poder de decisión en la organización. Es imposible un plan exitoso de Seguridad de la Información si no se cuenta con la autoridad suficiente para ejecutar el programa y alinearlo al negocio. Es otra forma de desperdiciar dinero, contar con una persona haciendo una correcta gestión de los riesgos pero una vez que los identifica y clasifica correctamente… no puede hacer nada.
6. Asumir que no tenés que preocuparte por la seguridad porque tu empresa es “muy pequeña”: que tu empresa sea muy pequeña no significa que no poseas información de valor para el negocio, que amenazas masivas no podrían afectar la disponibilidad de los recursos o que empleados no podrían hacer un mal uso de la información que genere inconvenientes de integridad, solo por citar algunos casos. Los riesgos y los costos asumidos por los incidentes obviamente son proporcionales al daño de las empresas, por eso independientemente de lo grande o pequeña que sea tu organización, deberás contar con un programa de seguridad de la información acorde y proporcional a la magnitud del negocio, pero nunca será nulo el riesgo existente.
7. Asumir que estás seguro porque no has sido “atacado” recientemente: aquí aparecen dos variables muy sencillas, o bien podrías ser atacado en breve y el hecho de no haberlo sido hasta ahora no garantiza que no lo serás (los ataques evolucionan, la suerte también puede influir), sino que además muchas veces uno ya fue atacado o un incidente ya ocurrió y lo desconoce, y esto también suele generar una falsa sensación de seguridad o tranquilidad.
8. Configurar la infraestructura de forma tan complicada, que hacer el trabajo se convierta en algo muy dificil: la seguridad de la información debe dar soporte al negocio, debe siempre ser un apoyo a lo que sea que haga la organización. Los controles de seguridad siempre afectan la usabilidad pero debe hacerlo de forma cuidadosa para no descuidar lo más importante, el negocio. Si los controles de seguridad evitan los ataques pero afectan de forma importante la operatoria de la empresa, el programa de seguridad no será nunca exitoso.
9. No seguir aprendiendo sobre seguridad y nuevos ataques: los atacantes (y ataques) evolucionan constantemente, no es posible tener un programa de seguridad de la información exitoso si no nos mantenemos en constante aprendizaje para acompañar la evolución de los ataques y las tecnologías para seguir garantizando una correcta gestión de los riesgos. Si tu CISO o equipo de seguridad no se capacitó el último año, probablemente ya haya algún riesgo en alguna de las tecnologías que no se esté considerando. La seguridad es un tema de aprendizaje constante y cotidiano.
10. Imponer requerimientos demasiado complejos para las contraseñas: este tipo de requerimientos, generalmente, logra que los usuarios terminen adquiriendo malos hábitos en la gestión de las contraseñas (anotarlas, compartirlas, etc.). Es por ello que hay que encontrar el equilibrio en los requerimientos para las contraseñas como así también configurar nuevas tecnologías para la seguridad por contraseñas para optimizar los riesgos en este campo.

Para terminar, a continuación pueden ver los 52 errores más comunes que se cometen en Seguridad de la Información, el listado completo traducido al español.

Politicas de seguridad y compliance:

• Ignorar las regulaciones y requerimientos de normativas o legislaciones.
• Asumir que los usuarios leerán las politicas de seguridad solo porque “tú se lo has pedido”.
• Usar modelos de seguridad sin personalizarlos.
• Decidir implementar una normativa como ISO 27001/27002 sin antes haberla leído.
• Crear políticas de seguridad que no puedes hacer cumplir.
• Seguir los requerimientos de compliance a ciegas sin pensar en la arquitectura de seguridad.
• Crear una política de seguridad solo para marcar un checkbox.
• Pagar a alguien para que cree tu política de seguridad sin conocimiento alguno sobre el negocio y sus procesos.
• Traducir las políticas en un entorno de muchos idiomas sin analizar el significado en cada uno de estos.
• Asegurarse que ningún empleado pueda encontrar la política.
• Asumir que si las políticas funcionaron el último año, lo seguirán haciendo el próximo.
• Asumir que si estás en compliance, estás protegido.
• Asumir que las políticas no aplican a los mandos ejecutivos.
• Ocultar información a los auditores.

Herramientas de seguridad

• Instalar las soluciones de seguridad por defecto sin analizar previamente ni personalizarlas.
• Configurar el IDS para que genere o demasiadas alertas o muy pocas.
• Elegir los productos de seguridad sin considerar los costos de implementación y mantenimiento.
• No complementar soluciones antivirus o firewalls con otros controles.
• Ejecutar periódicamente análisis de vulnerabilidades pero no dar seguimiento a los resultados.
• Dejar que el antivirus, IDS y otras soluciones de seguridad vayan en “piloto automático”.
• Implementar distintas soluciones de seguridad sin analizar cómo contribuye cada una de ellas a la seguridad.
• Enfocarse en los widgets, y omitir la parte de reportes y registro.
• Comprar costosas soluciones cuando implementaciones y cambios sencillos pueden cubrir el 80% de los problemas.

Gestión de riesgos:

• Implementar los mismos controles a todos los activos de IT sin importar los perfiles de riesgo.
• Poner a alguien responsable de la gestión de riesgos pero no darle a esta persona poder de decisión.
• Ignorar la “foto completa” (visión global) cuando se focaliza en el análisis de riesgos cuantitativo.
• Asumir que no tenés que preocuparte por la seguridad porque tu empresa es “muy pequeña”.
• Asumir que estás seguro porque no has sido “atacado” recientemente.
• Ser paranoico sin considerar el valor de los activos o su exposición.
• Clasificar toda la información como “secreta” o altamente confidencial.

Seguridad operativa

• No revisar los logs de las aplicaciones y sistemas.
• Esperar que los usuarios renuncien a la comodidad por la seguridad.
• Configurar la infraestructura de forma tan complicada, que hacer el trabajo se convierta en algo muy dificil.
• Decir siempre “no” cuando se piden nuevos requerimientos.
• Imponer requerimientos de seguridad sin proveer el entrenamiento y herramientas necesarias.
• Enfocarse en mecanismos preventivos ignorando los que permiten la detección.
• No contar con una DMZ para equipos expuestos a Internet.
• Asumir que tu gestión de parches está funcionando, sin hacer un control de ello.
• Borrar los logs porque se volvieron muy grandes sin leerlos.
• Esperar que SSL arregle todos los problemas de seguridad de las aplicaciones web.
• Bloquear el uso de dispositivos USB sin controlar la salida a Internet.
• Sentirse superior a los administradores de red o desarrolladores.
• No seguir aprendiendo sobre seguridad y nuevos ataques.
• Adoptar nuevas tecnologías de seguridad antes de esperar que “maduren”.
• Contratar a alguien solo porque tiene muchas certificaciones.
• No informar a la gerencia de cuántos problemas de seguridad se han evitado.
• No realizar entrenamientos cruzados entre los equipos de seguridad e IT.

Gestión de contraseñas

• Requerir a tus usuarios que cambien las contraseñas con demasiada frecuencia.
• Esperar que tus usuarios recordarán sus contraseñas sin anotarlas.
• Imponer requerimientos demasiado complejos para las contraseñas.
• Usar las mismas contraseñas en sistemas que difieren mucho en la exposición y el riesgo.
• Imponer requerimientos de seguridad muy complejos sin pensar cuán fácil es resetear dicho password.

Una buena forma de teminar este post sería al mejor estilo test de revistas convencionales. Si usted se sintió identificado con entre 5 y 10 de los 52 ejemplos, probablemente usted apeste un poco en seguridad, procure analizar cómo puede mejorar. Si usted se sintió identificado con más de 10 y menos de 20 de estas situaciones, probablemente necesite re analizar su estrategia de seguridad a niveles globales, analizando cómo está comprendiendo el aporte de la Seguridad de la Información al negocio.

Si usted se sintió identificado con más de 20 casos del listado, ¿está seguro que se dedica a la seguridad? Quizás es hora de aprender y empezar todo de nuevo, su empresa probablemente está muy expuesta a los riesgos.

Sebastián Bortnik
Gerente de Educación y Servicios