Una constante en cualquier auditoría es que se repiten las excusas de “pero esto lo vamos a cambiar“, “está en proceso de migración“, “mejor esperamos a que esté operativo tal o cual nuevo sistema“. Vamos, que todo está siempre en continuo cambio.

Y el cambio, como ya sabemos, es un problema para la seguridad si no está relativamente controlado. Pero de lo que va este artículo es de usar el cambio como excusa para retrasar (normalmente indefinidamente) alguna actividad de seguridad.

Puede aparecer de dos formas. La que he comentado antes de esperar para efectuar algún tipo de revisión y la de esperar para implantar alguna medida de seguridad.

La excusa es bastante razonable y suele calar en los responsables que atienden a ella. Pero hay una mentira subyacente y es que… siempre hay cambios, con lo cual el estado al que se propone esperar para efectuar la actividad de seguridad no va a llegar nunca.

Para reflejar esto he hecho el lunes desmotivador de esta semana, esta vez inspirado en el cine español, que ha estado injustamente ausente en los anteriores.

Pues eso, está claro que, al ritmo que van las tecnologías de la información en una organización, todo cambia continuamente y eso no nos debe impedir implantar medidas de seguridad.

Por otro lado… a veces pasa que el cambio que viene y viene y la migración que migra y migra pero… pasa el tiempo y no cambia nada por esto o por aquello.

Por eso, actuemos sobre lo que hay hoy y, si cambia, pues al menos  hemos aprendido y lo haremos mejor en la siguiente versión. Y, además, sabremos que requisitos imponer incluso antes de que cambie.

Por último, relacionado con el asunto del cambio, está claro que eso supone un desafío para la gestión de la seguridad si no está controlado y documentado… ¿O conocéis algún mapa de red actualizado?

Cuando uno escribe normativa de seguridad se pregunta hasta qué punto será útil. Una vez tuve una epifanía en la que comprendí que la documentación de seguridad es un ‘software’ que, para ser efectivo, debe ejecutarse en los ‘procesadores’ de las personas a las que están en su ámbito de aplicación.

Y claro, si redactar la documentación es complicado, hacer que se ejecute en cerebros ajenos puede resultar imposible.

Sin embargo, existe una situación (desmoralizante, claro) en la que los responsables están muy convencidos de que únicamente teniendo el documento ya está todo arreglado, independientemente de que lo haya leído alguien o se hayan implantado las medidas que en él se recojan.

Y yo me pregunto “¿hace ruido un árbol que cae cuando no hay nadie para escucharlo?”. O sea, ¿sirve de algo una normativa que nadie lee ni cumple ni se asemeja a la realidad?

Recordad que la efectividad de la documentación depende de quién se la cree y actúa en consecuencia. Si nadie se la cree ni la lee ni la utiliza para nada, ¿de verdad lo consideras una medida de seguridad? ¿Crees que te va a proteger de algo?

Con estos desvaríos os dejo el lunes desmotivador de esta semana, el primero cuya cita no es de una película sino de una serie.

Aprovechando que entra la primavera vuelve el afamado lunes desmotivador para hundiros en la más profunda depresión de la que saldréis mucho más concienciados que de cualquier charla motivadora positivista.

Hoy toca desmotivar sobre la consultoría de seguridad, ese arcano arte de interpretar una situación compleja desde el punto de vista de seguridad y convertirla en algo que entienda el cliente y que le motive a tomar acción.

Cuando digo cliente me refiero al destinatario de la consultoría de seguridad que debe tomar decisiones, independientemente de si es tu jefe, el responsable de otra unidad o tu cliente en una relación profesional.

La complejidad está en escapar del “¿y qué?” sin llegar a caer en el sensacionalismo y el meter miedo excesivo ni tampoco acabar dando la impresión de que todo es una puta mierda pero no decir que están bien porque entonces igual no hace nada… En fin, los que hayáis hecho esto alguna vez sabréis de qué hablo.

Recordad siempre sustituir palabras negativas por positivas (programación neurolinguista, como diría alguno que yo me sé). Por ejemplo: problema -> desafío, carencia -> aspecto de mejora y cosas así.

En definitiva, disfrutad del lunes desmotivador de esta semana.

Una puntualización sobre la cita anterior. Siempre trato de ser absolutamente fiel a las palabras empleadas en la versión española de la película. Incluso he llegado a descargarme la película para capturar la pantalla y ver exactamente qué dice en español.

En este caso, sin embargo, he hecho una excepción porque la traducción de la película en español es francamente chorra “Este trabajo lo fastidian los malditos clientes“. Cuando en inglés es “This job would be great if it weren’t for the fucking customers“. Así que he puesto una traducción propia que creo que ejemplifica mejor la intención original.

La seguridad en el desarrollo de aplicaciones es un oscuro arte que difícilmente puede hacerse bien. Si ya es difícil que la aplicación haga lo que se supone que tiene que hacer… que además lo haga de forma segura es un imposible.

Si además consideramos la situación actual de la tecnología web con sus múltiples posibilidades y sutilezas (pronto hablaré algo más de esto cuando termine The tangled web) la tarea se convierte en algo improbable.

Y si encima consideramos la situación de la mayor parte de los equipos de desarrollo (personal externo, rotación, becarios e inexpertos, variabilidad de requisitos, etc.) pues os podéis imaginar dónde acaba la seguridad.

Por eso, os dejo el primer lunes desmotivador de este año, para empezar con buen pié esta nueva vuelta alrededor del astro rey.

Tened en cuenta que desarrollar una aplicación que tiene que ejecutarse en un entorno de producción e interaccionar con un conjunto de servicios no tiene nada que ver con simplemente ‘programar’ en un lenguaje de programación.

Asombroso es también la diferencia entre lo que se gasta en hacer un sistema de información (podéis tirar de los números públicos) y lo que se gasta en analizar y corregir defectos de seguridad.

Lamentablemente no tenemos ni puta idea de valorar amenazas. Quizá los de seguridad somos demasiado catastrofistas, pero los que tienen responsabilidad no se imaginan hasta qué punto son vulnerables ni el posible impacto de una intrusión con mala leche.

En cualquiera de los casos quería haceros reflexionar sobre la falta de conciencia del peligro que suponen determinadas accione y de cómo se toman, en muchas ocasiones, a la ligera decisiones que tienen un grave impacto en la seguridad de su propia organización.

Así que os dejo el sangriento cartel del lunes desmotivador de esta semana sobre la valoración de amenazas y las consecuencias de no valorarlas adecuadamente. Y eso que Tim, el mago, les había avisado…

Creo que una de las razones es el desconocimiento de la infraestructura que forma los sistemas de información y, otra, la excesiva confianza en los ‘controles’ implantados. Respecto a esto último ya escribiré un artículo en breve.

Por muchas medidas que pongamos en los sistemas de información la realidad es que el administrador del sistema puede hacer lo que quiera. Esta verdad puede ser chocante (y normalmente lo es) para la gente de negocio, que piensa que las medidas de control de acceso protegen la información del mismo.

“¿Cómo?? ¿Que pueden leer mi correo? ¿Acceder a mis directorios compartidos del servidor? ¿Acceder a los datos de la base de datos directamente??”

Pues sí. Y no es que no se pueda hacer nada para evitarlo… es que tampoco se quiere hacer. Porque en casos de crisis siempre está bien tener un acceso absolutamente privilegiado… ¿o no?

El problema es que el poder absoluto corrompe absolutamente. Y tal y como está la cosa, además, es bastante común que sus sueldos no sean muy altos, por lo que el riesgo aumenta.

Os dejo el lunes desmotivador de hoy para ilustrar esta terrorífica situación.

Luego, el día que el administrador se va, o peor aún, lo echan, surgen dudas como esta.

Por aquello de contrastar situaciones, ¿qué medidas tomáis o conocéis que toman para controlar a los administradores? Y no sólo estoy hablando de root, Administrator o el DBA, sino también de los usuarios administradores de aplicaciones.

Un tema recurrente en este blog y en nuestras discusiones en la realidad es la concienciación de usuarios. Del usuario final, del directivo, del personal de TI, del que sea que no esté todavía concienciado con aplicar ciertas pautas de seguridad en sus quehaceres diarios.

Está claro que cada cual tiene sus preocupaciones, sus prioridades  y su nivel de entendimiento por lo que la concienciación es un trabajo complejo si se quiere llegar a todos.

Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone.

Os dejo el cartel del lunes desmotivador donde destaco la incapacidad de muchos usuarios para llegar a entenderlo nunca.

Algunos de los fracasos en este sentido son todas estas medidas de seguridad que se basan en la decisión del usuario para funcionar. Por ejemplo, el método de aceptar certificados ‘con problemas’ en HTTPS en los navegadores, que no sólo presenta una explicación confusa para el usuario sino que además, dejan a su elección si aceptar o no la situación anómala.

Por último, creo que Pirri da en el clavo en su post ‘¿Por qué?‘ sobre cómo enfocar la concienciación para llegar a los usuarios, relacionando ideas de su entorno con las decisiones de seguridad.

Aunque siempre nos queda la visión de Marcus Ranum, que dice que la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado :).

Era el año 2003, más o menos, y estaba yo trabajando en un proyecto de Auna cuyo objetivo era integrar la documentación de normativa de seguridad de Amena (que se había unido al grupo) y la existente del grupo, aportando además, nuevas modificaciones allí donde hubiera carencias.

Total que, como buen consultor de empresa Big5 (o ya eran Big4, no me acuerdo) tomé prestados otros documentos de normativa de otros proyectos para generar la normativa de seguridad definitiva.

Pasó el tiempo y, qué casualidad, que me encuentro por 2007 un Documento de Seguridad en un organismo de la Junta cuyas ‘directrices de seguridad’ me empiezan a sonar línea por línea.

Desempolvo CDs antiguos y, ¡voilá!, son los mismos que yo escribí / copié / adapté palabra por palabra. Por supuesto, la empresa que había hecho los trabajos no era para la que yo estaba trabajando entonces.

¿Y cómo llegó eso hasta ahí? Os estaréis preguntando… Pues por arte y gracia del ‘cutre-paste’.

Pero hay más, no sólo las directrices, todo el documento de seguridad ya me lo he encontrado igualito en otros organismos… Pero no porque se los pasen unos a otros, sino redactado por ¡diferentes empresas!

En fin, ahí os dejo el lunes desmotivador, con las palabras de Krusty, el payaso: “inventar, copiar… ¿qué más da?”.

En cualquier caso, tampoco es que haya que escribir todos los documentos desde cero, ya que para eso están las referencias y trabajos pasados que uno haya hecho.

Sin embargo, como nos decían en el colegio cuando pillaban a alguien copiando un trabajo.: “no lo hagáis letra por letra, tratad de entenderlo y escribirlo con vuestras propias palabras”. Y ya de paso, seguro que surgen ideas para mejorarlos.

Olvidado ya el verano y las vacaciones vuelve el lunes desmotivador para que el síndrome post-vacacional no decaiga. Esta vez os lo he puesto algo más difícil para que identifiquéis la película.

Lamentablemente los resultados de una buen protección son indistinguibles de los de una mala protección que no ha sido vulnerada todavía (o que no se han dado cuenta aún).

Pero que esto no os haga pensar que las medidas de seguridad no son necesarias porque siempre acaba llegando el día en el que, si no las tienes, lo lamentas.

Y, sobre todo, hay medidas de seguridad básicas para las que no hay excusas, se note o no se note si son efectivas. En fin, ahí va el cartel.

 

En algunas paradas de autobuses de la Barrosa (playa de Chiclana de la Frontera) se puede ver este cartel concienciador sobre el uso de Internet. Realmente va enfocado al uso de Internet por parte de menores y, casi todos los puntos tienen como receptor a los padres.

Aunque me gusta ver este tipo de propuestas que animan a mejorar la seguridad, tengo dudas acerca del enfoque de este cartel. Os comento lo que pienso después de la foto.

Lo primero que destaca de esta imagen es que ‘la educación es corresponsabilidad de todos/as’. No queda muy claro a qué se refiere, supongo que será parte de un programa con más contenidos y que ‘todos/as’ son los padres (a diferencia de otras fuentes de educación del niño: la tele, profesores, la internet…).

Por otro lado, como ya decía, el enfoque de casi todas las líneas son los padres de la criatura, aunque eso no queda claro en el título. Hecho en falta que se dirija algún mensaje a los jóvenes, al fin y al cabo, parece que es el grupo objetivo.

Respecto a los consejos, la mayoría puede resumirse en ‘hable y establezca una relación de confianza con sus hijos para que no hagan cosas en las redes sociales que usted no sepa y que puedan ser malas para ellos‘. Pero bueno, digamos que eso podría aplicar a cualquier otra situación de la relación con los hijos y no específicamente en el ámbito del uso de internet / redes sociales.

Hay dos entradas, sin embargo, que parecen dirigidas al padre y que no hacen relación a los hijos, que son:

  • Tenga cuidado con el e-mail y los archivos adjuntos, cuando no conoce quién lo envia. Nunca abra correos sospechosos.
  • Evite las páginas con contenidos nocivos o falsos. No crea todo lo que encuentre, vea o lea en Internet.

El primero indica precaución, aunque no advierte que, aunque sea de un ‘conocido’ también conviene tener precaución. Esos mensajes con sólo un adjunto o una URL que vienen de tu amigo… igual no es él. Además, la coma sobra.

Respecto a evitar páginas nocivas o falsas… sin comentario :). El consejo de incredulidad siguiente, creo que debe aplicarse no sólo a Intenet, aunque no me parece mal recordarlo.

En definitiva, que no quiero perder más tiempo con esto que no deja de ser anecdótico: concienciar usuarios es complicado y no creo que este cartel esté muy bien enfocado, aunque no me parece mal que se vayan dando mensajes porque, al final, algo quedará.

El asunto de que los chavales no se metan en líos en Internet y en las redes sociales (ese invento de la CIA) no deja de ser el mismo que fuera y no me parece que esté tan relacionado con ‘uso seguro de Internet’.