No más seguridad, sino mejor seguridad

Tal vez hayan ido a congresos o conferencias de seguridad informática. En muchos de ellos, no faltan los patrocinadores que, ubicados estratégicamente, prácticamente obligan a los asistentes a pasar por sus puestos para que vean sus nuevos productos de todo tipo. "Protéjase contra las amenazas de hoy día", dicen. "¿Está su empresa preparada para los ciberdelitos?", preguntan. "El nuevo SecWeb X: Si no lo tiene, está indefenso", afirman. "Soluciones empresariales para asegurar lo que más importa: su negocio", pregonan.

Yo paso con cada uno de ellos para recibir folletería y una alta dosis de miedo de no tener el "último grito" en seguridad informática, o me alejo para evitar contestar todas las preguntas que hacen. A veces juego con ellos y les digo que “mi” corporativo es de 10 personas, que yo soy el administrador de sistemas y que dispongo de un presupuesto anual de 15 mil pesos para seguridad informática. ¡Caray, cómo los desanima eso! Dibujan una leve sonrisa y contestan que tienen soluciones para todos los bolsillos, pero empiezan a entrevistar al siguiente cliente potencial y pierden interés en mí. No falla.

Pero no sé si yo mágicamente tuviera dinero ilimitado, lo gastaría en nuevos productos de seguridad con nombres rimbombantes, porque hay dos maneras de mejorar la seguridad: añadir o sustraer.

Añadir es hacer y tener más: comprar un nuevo antivirus con nuevas características, un moderno analizador de vulnerabilidades más rápido o tener una nueva herramienta recién salida al mercado que nos salvará de las amenazas en línea. Por otro lado, sustraer es eliminar lo que no nos sirve, a la vez que mejoramos lo que ya tenemos y hacemos. Hacer más eficiente un procedimiento, re-configurar un antivirus, parchar todos los sistemas y sus aplicaciones; es decir, consolidar lo que actualmente se tiene.

Creo que muchas veces lo que hacemos en seguridad informática es tratar de mejorar por adición: más productos para incrementar el arsenal contra las amenazas. Pero es curioso que, cuando le preguntamos al feliz comprador de ese nuevo producto que "escanea más sistemas por minuto" lo que hace con los resultados de esos escaneos, nos dice que le envía el reporte a los administradores, y eso es todo. Quién sabe qué y cuándo se atendieron esos reportes, si es que se atendieron.

Mejorar lo que actualmente hace le traerá más beneficios que hacer más de manera mediocre.

Fausto Cepeda

O si acaban de comprar la nueva maravilla en ciberprotección para ver amenazas en tiempo real, y les preguntas si sus sistemas operativos y sus aplicaciones están parchadas al 100%. La respuesta suele ser, "no, ya sabes, hoy en día quién puede tener toda la infraestructura parchada al 100%, es imposible". Cientos de debilidades conocidas rondan por los oscuros rincones de las TI, pero eso sí, nuestro servidor web tiene un nuevo producto contra las APT.

¡Haga primero lo básico! Deje de andar comprando nuevos productos costosos y póngase a hacer las 10 cosas que realmente reducirán el riesgo. Consolide lo que tiene. No vuelva a comprar nada hasta que pueda decir que su infraestructura cuenta con los últimos parches de seguridad, que tiene actualizados todos sus sistemas operativos, todas sus aplicaciones,  switches, bases de datos y demás. Explote mejor las herramientas que actualmente tiene. Revise cada línea de configuración a ver si es la que más protege y la más adecuada. ¿Ya lo hizo, o tiene una configuración de hace años porque "así estaba cuando llegué"?

Aplique endurecimientos a sus sistemas, el famoso hardening. ¿No lo ha hecho, pero muere por tener ese aparato de seguridad que le mostró la guapa edecán en aquel evento?

Eso de "back to basics" es lo que aplica aquí. Mejore al sustraer, no al añadir:

Incidentes de seguridad

• Adición: obtenga un nuevo correlacionador de eventos que ahora sí funcionará.
• Sustracción: explote el actual correlacionador de eventos para que por fin detecte intrusiones.

Ataques informáticos

• Adición: el nuevo y poderoso WebProtect3000 que puede instalar para olvidarse de las amenazas.
• Sustracción: Parche toda (¡toda!) su infraestructura de TI y manténgala así.

Métricas

• Adición: añada más indicadores de seguridad informática.
• Sustracción: revise las métricas que tiene y vea si son relevantes para tomar decisiones.

Protección

• Adición: compre un analizador de seguridad para su sistema operativo.
• Sustracción:aproveche las características de seguridad que ofrece su sistema operativo para configurarlo de manera segura (hardening).

Pentest

• Adición: contrate un pentest.
• Sustracción: primero resuelva todos los hallazgos del pentest pasado y revise que las soluciones fueron efectivas y se mantienen.

Análisis de riesgos

• Adición: proteja todo por igual (seguramente lo logrará).
• Sustracción: básese en un análisis de riesgos para proteger más lo que es realmente  crítico, y proteja satisfactoriamente el resto.

Procedimientos

• Adición: tenga más procedimientos, y cuando crea que es suficiente, haga más.
• Sustracción: revise que sus procedimientos actuales sirvan para su propósito, que sean efectivos y que se prueben. Y que se sigan realmente en la vida real.

Evaluación

• Adición: un nuevo producto que evalúa la seguridad de su sistema crítico.
• Sustracción: de una vez y sin evaluarlo, le puedo decir que su sistema crítico está desactualizado, sin hardening y que tiene una configuración insegura. O que no tiene listas de direcciones IP válidas que son las únicas que deberían contactar al servidor. Listo, le acabo de ahorrar miles de dólares.

Así es que ya sabe. Cuando le muestren el próximo producto de seguridad a meses sin intereses, recién salido al mercado, y que realmente debe adquirir, recuerde mis palabras: mejor preocúpese de mejorar lo que tiene.

Autor Pablo Cepeda González