Otras labores nos han apartado algunas semanas de la atención al blog, pero la necesidad de mantener la comunicación en temas de seguridad de la información y el papel que tiene el factor humano en este campo lleva a reflexionar sobre el tema que da título a la entrada.
Muchas personas persisten en la idea de que la tecnología es la solución mágica a los problemas de seguridad de la información.
Se escuchan a diario afirmaciones que son mitos en el ámbito de la informática y que está demostrado que no son mas que eso. Destacan entre ellas: “no me entran los virus porque uso Linux” o “no es necesario revisar los dispositivos externos al conectarlos porque el antivirus lo hace de oficio”.
Los sistemas informáticos en su protección conjugan diversos mecanismos que pueden ser de seguridad física y pero también del ámbito técnico lógico. No basta con la tenencia de agentes de seguridad que controlen los accesos a locales o cámaras de seguridad que monitoreen la entrada y salida de personas.
Los sistemas informáticos cuentan con los que se ha dado en llamar estrategia de seguridad en profundidad, que funciona como las capas de una cebolla, que van cubriéndose. De esta manera si un mecanismo falla, otro asume la defensa. En este sentido existen múltiples tecnologías y equipamientos para este fin que se complementan y actúan de conjunto: cortafuegos, zonas desmilitarizadas de la red, swichts, proxy, sistemas de detección y prevención de intrusos (IDS – IPS) y muchos otros.
Esta tecnología funciona a parir de la configuración de un conjunto de reglas que expresan el mandato de una organización en torno a la seguridad de la información y cómo esta debe ser manejada.
Como se conoce en informativa se dice que no hay matices, existen dos caminos determinados por el sistema binario, es 0 o es 1. En este sentido las reglas expresan, en un transito de lo singular a lo general como debe ser tratada cada solicitud que llega al sistema por parte de los usuarios que están autenticados y autorizados en el mismo.
La expresión de que “ no hay matices” es absoluta, porque esto puede lograrse con las reglas, pero no siempre puede llegarse a un nivel de singularidad tal que represente el interés de un usuario determinado.
Pero no puede perderse de vista, que la tecnología expresa el ideal plasmado en las políticas, las reglas o en las listas de control de acceso a partir de las prestaciones de la tecnología que se utiliza. Sin embargo, a estas mismas tecnologías, casi a diario, le surgen nuevas vulnerabilidades, cuya corrección requiere de tiempo y actualización.
De esto surgen preguntas que deben servir para la reflexión de todos los usuarios de las TIC.
1. ¿Si la tecnología falla, cómo enfrentar las amenazas que asechan al sistema?.
2. ¿Si el antivirus no es infalible como evito la contaminación por código maligno?.
3. ¿Si es cierto que Linux también es atacado por códigos malignos cómo operar?.
Las preguntas pudieran generar una lista inmensa, pero la respuesta es única y se acompaña de una explicación.
Los antivirus para su funcionamiento nutren sus bases de conocimiento para detectar nuevos malware de fragmentos códigos maliciosos conocidos. Si se genera un nuevo programa maligno, los antivirus no lo reconocen al no tener con que comparar. Esta es la razón por la que se solicita a los usuarios de las TIC operar con minuciosidad al introducir un dispositivo en un sistema para buscar anomalías. Estas últimas pueden ser señales de una infección.
Además no todas las vulnerabilidades que posee un sistema son conocidas. Los programas que las detectan funcionan contra bases de datos que contienen el conocimiento existente sobre las mismas y para las que han sido creados parches o actualizaciones que protegen los sistemas.
Si existe una vulnerabilidad que no ha sido detectada antes y que puede ser explotada por un ciberdelincuente, se les conoce como del “día cero” (Zero day) y no será resuelta hasta que no se programe una actualización que cierre la brecha de seguridad en el programa. Por ello, siempre será necesario que los usuarios de las TIC se mantengan alertas sobre un funcionamiento inusual en los activos informáticos.
Estas explicaciones son necesarias para comprender que la tecnología y la seguridad que está asociada a ella nunca será suficiente para su protección.
Las definiciones de cómo proteger la tecnología, la determina el personal encargado de su administración, pero para ello requieren del concurso de todos para proteger el sistema de manera integral.
El administrador de red o el especialista de ciberseguridad, hacen un monitoreo continuo del sistema, pero no están en todos sus puntos de acceso. Es allí donde tienen un papel primordial las personas que cada día utilizan las TIC en sus labores cotidianas. Son los que aprecian las irregularidades y pueden informar de ellas para evitar que un pequeño problema se convierta en un incidente.
Para ello, a pesar de que no ser “informáticos”, todos los usuarios de la red tienen que poseer conocimientos para manejar las situaciones que pueden afrontarse en un terminal por una vulnerabilidad, la presencia de un código maligno, etc.
Saber que hacer en cada ocasión es poseer buenas prácticas en el manejo seguro de las TIC las que están contenidas en estándares internacionales como la ISO 27002, pero además están detalladas en el Plan de seguridad de las TIC de la institución, donde se detalla que hacer ante cada situación para prevenir, enfrentar o recuperarse de un incidente.