Empresas, datos e inseguridad informática, por Dabo

Solo quería dar mi punto de vista sobre el tratamiento de los datos y la gestión e implantación de las políticas de seguridad en pequeñas y medianas empresas. Lamentablemente, para muchos empresarios, el concepto de seguridad se resume a que en cada puesto esté corriendo un antivirus…


70 7
70 7

Solo quería dar mi punto de vista sobre el tratamiento de los datos y la gestión e implantación de las políticas de seguridad en pequeñas y medianas empresas. Lamentablemente, para muchos empresarios, el concepto de seguridad se resume a que en cada puesto esté corriendo un antivirus…

La seguridad no vende, incomoda y es algo mucho más intangible que por ejemplo, ampliar la velocidad de conexión a la red o mejorar el contrato actual con un operador de telefonía móvil.

La seguridad de los datos que se almacenan, a veces se suele resumir a destruir papel, hacer los backups pertinentes en el Windows 2000 server de turno y como mucho, un triste antivirus instalado en cada máquina como os decía antes.

Entre que normalmente el empresario quiere pagar poco y el servicio técnico hace lo que puede para ajustar costes, al final, unos por otros la casa sin barrer. La empresa tiene un problema, va a precio, el que lo repara baja los costes, tiene un contrato de mantenimiento muchas veces cogido “con alfileres” y no quiere perder a su cliente ¿Qué hace? le lleva el “maldito” ratón que no acaba de ir bien y punto…

¿Y la seguridad? ¿Eso qué es? la seguridad informática es un concepto mucho más global que las medidas “locales” que se suelen adoptar, el “mea culpa” lo deberían entonar tanto unos como otros, la empresa por querer ahorrar a costa de lo que sea y quien lleve el mantenimiento por no saber asesorar a veces a su cliente o por miedo a perderlo si se sale del rol establecido. Se que suena muy tajante pero voy a tratar de daros alguna pista y ejemplos.

Entiendo que no todo el mundo lo hace mal, pero hablo de una gran mayoría, conozco casos muy a fondo y sobre todo los mayores problemas vienen en las Intranets corporativas de a veces no tan pequeñas empresas. No voy a hablar de espionaje industrial que existe y telemáticamente se practica más a menudo de lo que nos imaginamos. Un ejemplo, red interna de 30 equipos, conectada a su vez a Internet por la conexión que ofrece la propia Intranet corporativa, alguno se podría sorprender de la cantidad de información confidencial que se puede levantar por medio de todo un clásico, Netbios ¿Creéis que exagero? se de lo que hablo. Me vale eso como que a un router Cisco le dejen por defecto “user admin password admin” ¿?

Estas cosas pasan y no me las han contado, lo he visto. Otro caso, la empresa demanda un sistema de mensajería instantánea para los 30 equipos, no quieren saturar el teléfono y el servicio técnico tiene la brillante idea de instalar un programa como por ejemplo el Network Assistant.

Casi me caigo al suelo cuando veo que dicho programa entre otras funciones permite ver los procesos en máquinas ajenas, texto en el portapapeles y…LA PANTALLA ACTIVA DEL ORDENADOR AJENO. Si, un supertroyano y encima a golpe de ratón. Cuatro cliks y dentro, alucinante, el programa te permite hacerte administrador localmente en cada puesto pero con efecto global. Osea, tu controlas y te controlan, había un modo de pararlo que impedía ese ataque a la privacidad pero…era más sencillo instalar el programa y punto. Lo que estoy diciendo es algo fuerte porque no quiero pensar en el típico “insider” que controla o se molesta en ver las típicas opciones del soft viendo lo que leen o escriben sus compañeros, en gerencia o administración.

¿Quien tiene ahí la culpa?

O un AS400 donde se lleva toda la contabilidad, datos de clientes etc con alguien que tiene acceso y que la autentificación se basa en “user Sara” – “password Sara” y donde puedes entrar por telnet previo escaneo a un rango de ips para identificar puestos y servicios corriendo…

Claro, luego el problema es que el trabajador se baja mucha porquería de Internet o que navega por donde no debe navegar y por culpa de eso entra un virus aquí o allá y todo al garete. Y voy yo y me lo creo, aplicaciones corporativas donde solo se puede entrar con Explorer, sistemas arcaicos, ilógicos e inseguros y programas “A medida” que no se actualizan porque el programador “pide mucha pasta” por el update.

Me gustaría saber cuantas empresas forman realmente a los trabajadores en lugar de censurar, cuantas les dicen como ayudar a que los entornos de trabajo y con ello los datos estén a salvo. Como mucho activan el firewall del router pensando que estarán a salvo sin pensar en que los problemas vienen normalmente de un puesto en la red comprometido o susceptible de serlo. De la misma forma que piensan que para cumplir con la ley de prevención de riesgos laborales con dar un folleto explicativo vale, algún iluminado cree que por decir a un empleado “ten cuidado con lo que te bajas de Internet que entran virus”, soluciona sus problemas informáticos.

A la gente que lleve el mantenimiento que no tenga miedo a plantear cambios, políticas de restricción de permisos reales al estilo de Unix (aunque eso es impensable en equipos Windows hablando de servers y que me perdonen), pensar en cada elemento de la red interna como un “todo”, aconsejar el uso de programas alternativos a los típicos y comerciales que a veces son innecesarios e inseguros, no quiero ni pensar en cuantas empresas se arreglarían con un Open Oficce, al fin y al cabo, ese programa solo se usa como visor de las típicas presentaciones en Power Point que manda el Spammer casero de turno. El uso de navegadores como Firefox, la sustitución de programas como el Outlook, MS Oficce etc, charlas formativas, ayudar a evitar el “miedo al cambio”, políticas de contraseñas fuertes, con cambios frecuentes, no sensibles a ataques por diccionario, firewalls bien implementados etc etc etc.

Lo se, alguno me dirá que no se puede cambiar de sistema operativo porque usan ciertos programas, me parece muy bien, soy realista pero con cambiar alguna de las aplicaciones que enumero a grosso modo en el párrafo de arriba, el 40% de los riesgos potenciales de seguridad quedarían cubiertos.

Pero claro, eso cuesta tiempo, imaginación y sobre todo dinero, eso si, luego que no se lamenten. Efectivamente es más fácil pedir precio para cambiar de una vez ese lector de CD ROM que ni siquiera graba no vaya a ser que un empleado “gaste” más lector laser de la cuenta…

También me pongo en el lugar de alguien que ha estudiado informática / redes y accede al mundo laboral y le dice al cliente – “mire, puedo implantar el servidor DNS así como la gestión del router para dar entrada-salida a los equipos a la Intranet-Extranet en un servidor Linux que de acceso a equipos Windows o porqué no decirlo Mac y el coste será menor así como el riesgo para su empresa etc etc y que sucederá…

Yo ya se lo que sucederá en el 90 % de los casos porque está todo relacionado. Al final volvemos a lo mismo, las opciones, las alternativas. Que me perdonen si no defiendo a Windows, creo que estoy libre de sospecha porque en Daboweb, entre otros sistemas operativos, damos el mejor soporte que podemos a usuarios de Windows, yo defiendo mi opción, me toca estar en la minoría y a veces entre gente (no generalizo) que piensa que soy un Freak por usar Linux y un snob por tener un iBook blanco que cuesta menos que un portatil centrino en el que además de OS X tengo un Ubuntu instalado. Me da igual lo que piensen cuando digo que bajo el entorno gráfico que uso, un sólido núcleo Unix se encarga de gestionarlo todo. Estoy en esa minoría que cuando dice “correr un demonio” alguno piensa que voy a decir un taco -:), pero entender que tengo que defenderlas, Windows no lo necesita, de cada 100 veces que enciendes un equipo nuevo, unas 95 te encontrarás con su pantalla azul de bienvenida.

¿Qué tiene esto que ver? Seguridad informática = más cosas que el Norton Internet Security de rigor…

Dabo.

iptables rules -:)

Categorías para este artículo
  • Sin categoría

Añade un comentario

7 comments

  1.   

    Hola, me siento totalmente retratada en este caso que habéis planteado, por un lado estoy adquiriendo los conocimientos necesarios para desarrollar una futura carrera como consultora de seguridad a base de masters y pagar y pagar, no salimos lo suficientemente formados de la facultad y aprendes a base de golpes, he hecho las prácticas en un empresa de tamaño medio-grande y pasan de todo, cuando hablo de seguridad no me hacen ni caso y encima como soy mujer pues peor. Les preocupa solo que el trabajador no navegue y quedar bien en las auditorias que son una farsa. Lo peor es la sensación de que “no sabes”, lees a gente que hace cosas como las que dicen aquí o de linux que damos muy poco y te desconcierta.

    Además en Madrid cobrando 800 euros como están compañeros míos una no está para hacer virguerías en su trabajo (dos horas de metro al día). luego ya a veces voy con mi powerbook y ya algunos me toman menos en serio. enhorabuena por el artículo pero no creo que cambie mucho el panorama

  2.   

    Por lo que yo veo, generalmente las empresas invierten en informática (hardware), y lo que es en el software, solo y solamente solo si realmente no lo han pirateado, simpre hay excepciones y gente legal, pero lo que no se invierte en antivirus, algunas solo en el ordenador que se conecta a internet, por supuesto, eso de Firewall, mejor pa los Chinos, quien va a entrar, como solo entra el correo. Y en cuanto a las claves pa que, si tengo que usar el ordenata de Juan y está enfermo, como voy a entrar si no se su clave, y quien iva a buscar en mi ordenador algo privado, para lo privado ya está en de casa.
    Más de uno me ha comentado que manda emails o recibe en plena calle, para el coche, y si recibe señal de redes wifi sin seguridad, se conecta y manda o recibe, la prueba más clara es el video del Esgae que se comentaba hace unos días en esta lista.

  3.   

    De acuerdo al cien por cien, la seguridad como dice dabo no vende, yo gestiono una empresa que da servicios integrales a sus clientes y prefieren hablar de un proyecto web corporativo muy mono y flash a todo ritmo que de cuanto les cuesta tener los ficheros y datos de clientes a salvo. Aprovecho para decir que a mis empleados procuro tenerles con la motivacion alta y pagar segun corresponde, veo que en madrid las cosas estan mal o peor que en santiago, excelente reflexion

  4.   

    ¿seguridad? y si hablamos de la administración pública ya de coña. En el entorno educativo en el que me muevo, no se compra una licencia ni GRATIS! no hay ni un duro para software ni que decir comprar antivirus o peor aún, una máquina que haga de servidor con un buen sistema operativo y seguro -soñar con MacOS X server será la monda-.

    La cosa no sale del XP ni lamiéndoles los zapatos, ya me siento más sólo que la una a la hora de generar contenidos con Mac, ya os podéis imaginar como es en lo que se refiere a seguridad, XP o en su defecto 98 y nada más. Los equipos (algunos) viene con SuseLinux pero claro, ni se arranca con él, ¿par aqué? dicen ellos.

    Y decirles que hagan copias de seguridad es como hablarles de las propiedades de los quasares.

    Patético

  5.   

    Pues si amigos, lo cierto es que se lo toman a coña y asi nos va, de la administración pública referencias tengo pero no las suficientes como para ponerlas en el artículo ya que como decía me baso en experiencias lo más objetivas posibles ya que son situaciones que he vivido yo aunque no quiero ni pensar a nivel institucional como estará el panorama.

    Lo que no acabo de entender es que si un chaval que empieza a ir a la escuela, va a estar relacionado con los ordenadores toda su vida, como no se inculca una cultura informática desde la base. No se puede negar, Internet estará ahí de una u otra forma pero estará y alguno sigue pensando como que esto no es más que una “moda” que nunca se acaba…

    Lo que a veces me llama la atención es el interés, a la hora de contratar hablo, el interés de que una aplicación sea efectiva, con un diseño innovador etc etc y que por decir algo, ese mismo interés no se haga visible por ejemplo sobre “¿Qué pasa con las bases de datos?”

    El mantenimiento pienso que es también otra asignatura pendiente y a veces es lo que menos se entiende, porque si el cliente ha pagado 10.000 eur por un trabajo tiende a pensar que todo lo que pase a partir de ahí está cubierto.

    Yo por si acaso sigo con lo mío -:) , el mejor firewall es un buen backup…

    Un saludo a todos

    Dabo

  6.   

    q no gasten mucho q hayga mas empresa el el peru y q no nos lleven a la ruina

  7.   

    q no gasten mucho q hayga mas empresa el el peru y q no nos lleven a la ruina