La verdadera pregunta no es “¿podemos educar a nuestros usuarios para ser mejores en el ímbito de la seguridad?Â� sino “¿por qué tenemos si quiera que educar a nuestros usuarios?Â�. En cierta manera esto no es mís que un “Permitir por DefectoÂ� encubierto. ¿Por qué los usuarios tienen permisos para obtener archivos ejecutables? ¿Por qué esperan los usuarios recibir emails de bancos en los que no tienen cuentas? La mayor parte de los problemas que se pueden corregir educando a los usuarios se corregirín a sí­ mismos a lo largo del tiempo. A medida que una generación mís joven de trabajadores se mueve al frente de los puestos de trabajo vienen pre-instalados con un saludable escepticismo acerca de fraudes e ingenierí­a social.

Tratar con cosas como los archivos adjuntos y el phishing es otro caso de “Permitir por DefectoÂ�, nuestra idea estúpida favorita. Después de todo, si estís dejando a todos tus usuarios obtener archivos adjuntos en sus emails estís “Permitiendo por defectoÂ� cualquier cosa que se les mande. Una idea mís apropiada podrí­a ser simplemente poner en cuarentena todos los archivos adjuntos a medida que llegan a la compañí­a, eliminar todos los ejecutables directamente y almacenar sólo los pocos tipos de archivos que decides que son aceptables en un servidor donde los usuarios puedan entrar a través de un navegador con soporte SSL (requerir una contraseña eliminarí­a una gran cantidad de mecanismos de propagación de gusanos de golpe). Hay herramientas gratuitas como MIMEDefang que pueden ser utilizadas fícilmente para eliminar archivos adjuntos de emails entrantes, escribirlos a un directorio por usuario y reemplazar los adjuntos en un email con una url a la dirección donde se pueda descargar el adjunto. ¿Por qué educar a los usuarios si puedes clavarle una estaca al problema directamente en el corazón?

Cuando era CEO de una pequeña startup de seguridad informítica no tení­amos administrador de sistemas Windows. Todos los empleados que querí­an ejecutar Windows tení­an que saber cómo instalarlo y manejarlo ellos mismos o directamente no les contratíbamos. Mi predicción es que en 10 años los usuarios que necesiten ser entrenados estarín fuera del mercado laboral o que se entrenarín en casa para mantenerse competitivos. Esta misma predicción incluye el saber que no hay que abrir archivos adjuntos de extraños.

#6) La acción es mejor que la inacción

Los ejecutivos de TI parecen estar divididos en 2 categorí­as: los “adoptadores tempranosÂ� y los “pausados y pensativosÂ�. A lo largo de mi carrera me he dado cuenta de que un número realmente pequeño de los “adoptadores tempranosÂ� han construí­do sistemas con éxito y seguros para objetivos crí­ticos. Esto es así­ porque por alguna razón creen que “la acción es mejor que la inacciónÂ�: es decir, si te encuentras con una nueva tecnologí­a es mejor instalarla ahora mismo que esperar, pensar sobre ello, ver lo que les ocurre a otros adoptadores tempranos y entonces instalarla una vez que ya ha sido puesta a punto y ha tenido su primera generación de usuarios experimentados. Conozco a un ejecutivo TI senior -uno de los pausados y pensativos-, cuyo plan para instalar soporte wireless a lo largo y ancho de su compañí­a era “esperar 2 años y contratar a una persona que haya hecho una instalación wireless exitosa para una compañí­a mís grande que la nuestraÂ�. No solo la tecnologí­a estarí mís refinada para entonces sino que serí mucho, mucho mís barata. ¡Que estrategia tan brillante!

Hay un importante corolario a la estúpida idea de “la acción es mejor que la inacciónÂ� y es este:

“A menudo es mís fícil no hacer algo estúpido que hacer algo inteligente.Â�

Sun Tzu no escribió esa frase en “El Arte de la GuerraÂ� pero si le dices a un ejecutivo TI que lo hizo te tomarín mucho mís en serio. A muchos de mis clientes les he estado aconsejando: “mantente apartado del outsourcing de seguridad durante un año o dos y entonces busca recomendaciones y opiniones sobre los sangrientos y mutilados supervivientes, si es que queda alguno.Â�

Puedes ver la estúpida idea de que “la acción es mejor que la inacciónÂ� a lo largo y ancho de las redes corporativas y tiende a estar relacionado con directivos TI que hacen sus decisiones de compra de productos leyendo los informes de investigación Gartner y los coloridos folletos publicitarios de las compañí­as. Si te encuentras en la cadena de mando de dicho directivo, sinceramente espero que hayas disfrutado de este artí­culo porque probablemente entiendas perfectamente de lo que estoy hablando.

Una útil técnica de kung-fu burocrítico es recordar que si te encuentras luchando contra un “adaptador tempranoÂ� te puedes apoyar en tus compañeros. Hace varios años tuve un cliente que estaba planeando gastarse una importante suma de dinero en una tecnologí­a sin probarla operativamente. Recomendé extraoficialmente al director de TI al cargo que enviase a alguien de su equipo a una conferencia relevante donde le fuese posible encontrar a alguien con experiencia en dicha tecnologí­a. Recomendé al directivo que su empleado pusiera un mensaje en el boletí­n de noticias que dijese:

“¿Tienes experiencia directa con xyz de la compañí­a pdq.com? Si es así­ estoy autorizado a llevarte a cenar al Hilton si prometes darme toda la información que tengas del funcionamiento del producto. Conctíctamente, etc.Â�

El director de TI me comentó mís tarde que una cena de 200€ le evitó gastar mís de 400.000€ en un infernal trauma tecnológico.

Realmente es mís fícil no hacer algo estúpido que hacer algo inteligente. La clave estí en que cuando evitas hacer algo estúpido te aseguras de que tus superiores sepan que has navegado a través de unas arenas particularmente sucias y de que obtienes el crédito necesario por ser inteligente. ¿No es esta la mayor expresión del kung-fu profesional? ¡Recibir alabanzas por no hacer nada!

Estupideces menores

Estas ideas estúpidas no merecen el status de “La mís estúpidaÂ�, pero son suficientemente estúpidas como para no mencionarlas, aunque sea de pasada:

• No somos un objetivo – sí­, lo sois. Los gusanos no son suficientemente inteligentes como para darse cuenta de que tu sitioweb/red no es interesante.

• Todo el mundo estarí­a protegido si utilizasen <sabor-de-seguridad-del-mes> - no, no lo estarí­an. Los sistemas operativos tienen problemas de seguridad porque son complejos y la administración de sistemas no es un problema que esté resuelto. Hasta que alguien consiga resolver el problema de la administración de sistemas, cambiar al sabor-del-mes va a hacer mís mal que bien porque vas a hacer mís difí­cil que tus administradores de sistemas ganen una experiencia que sólo se gana con el tiempo.

• No necesitamos un firewall, tenemos una buena seguridad en cada equipo – no, no la tienes. Si tu red no es segura cualquier aplicación que se comunique a través de la red es potencialmente un objetivo. 3 palabras: Sistemas de Resolución de Nombres.

• No necesitamos seguridad en cada equipo, tenemos un buen firewall – no, no la tienes. Si tu firewall deja pasar trífico destinado a los equipos que hay detrís entonces tienes que preocuparte de la seguridad individual de esos equipos.

• Llevémoslo a producción ahora y ya lo aseguraremos mís tarde – no, no lo asegurarís. Una pregunta mís apropiada serí­a: “Si no tenemos tiempo para hacerlo bien ahora, ¿tendremos tiempo para corregirlo una vez esté roto?Ââ€� Algunas veces, desarrollar un sistema que estí constantemente en reparaciones significa que tendrís que emplear años invirtiendo en parchear porque no estuviste dispuesto a dedicar en primer lugar unos dí­as para hacer un trabajo bien hecho.

• No podemos parar los problemas ocasionales. - sí­, sí­ que puedes. ¿Viajarí­as en lí­neas aéreas comerciales si supieses que la industria de la aviación tomase este camino con tu vida? No lo creo.

Adiós y Buena Suerte

He tratado de mantener el tono ligero y agradable pero mi mensaje va en serio. La seguridad informítica es un campo que se ha enamorado demasiado con la moda del momento y ha olvidado el sentido común. Tu trabajo como practicante de seguridad informítica es cuestionar – si no directamente enfrentarte- la sabidurí­a convencional y el status quo. Después de todo, si la sabidurí­a popular estuviese funcionando el ritmo de equipos comprometidos irí­a disminuyendo, ¿verdad?