Weblog de JaCkSecurity

La generación Y es la expresión del nuevo tipo de reto que los gestores de seguridad afrontarán en breve. Su naturaleza trasciende el potencial gerencial y técnico. Quizás por ello, no he visto aún a nadie estudiar este nuevo problema. Sin duda escapa nuestra actual comprensión de la seguridad informática.

Centrándonos en el tema, lejos están los días en que un empleado u operario (ahora llamado colaborador) era revestido de todo el material y herramientas necesarias para su labor. En el transcurso de los últimos años, hemos visto cómo los colaboradores empezaban a hacer uso de sus propias herramientas (software) para la labor. Ud. ha sido testigos y quizás -hasta- protagonista- de instalaciones de software no legal sopretexto de ser necesario para la labor y hasta para seguir operando el negocio (y para ahorrarle unos millones).

Aunque lo anterior sólo parecía afectar a terceros (la BSA y amigos), lo cierto es que el problema ahora sí que toca las puertas de los negocios. En el presente, muchos empleados disponen de dispositivos de almacenamiento portátil (de su propio pecunio) -felizmente todavía visibles-, en los que no sólo viajan datos personales del empleado, sino que -hasta- información confidencial o secreta de su empleador. ¿cuál es su argumento? Singularmente, muy parecido: es necesario para la labor (con mayor flexibilidad y rapidez).

Sin embargo, al respecto de lo señalado en el párrafo anterior, ha quedado claro que desconectar la bahía USB de las PCs/Macs es el peor exceso que un oficial de seguridad puede cometer contra la flexibilidad de los negocios de su compañía, por el sólo hecho que exihibe riesgos tan terribles como el antes señalado. Así que, discutir al respecto es sólo una pérdida de tiempo y quizás hasta dinero (con esas soluciones endpoint, que últimamente afloran).

Mejor que eso, piense más profundamente al respecto del problema: imagine cuántos dispositivos computacionales con capacidad de almacenamiento y transmisión inalámbrica podrá introducir en la oficina -en unos cuantos años en el futuro- un colaborador sin usted siquiera poder notarlo y menos fiscalizarle. No olvide añadir también esta variable: ergonomía, recuerde que la ergonomía y la calidad del ambiente de trabajo, muy defendido hoy, nos invita a permitir a nuestro colaborador a traer dispositivos diversos que en buena cuenta le permitan hacer uso de ese derecho o atributo tácito (¿escuchar música, las noticias, ver TV?). ¿acaso usted mismo (el oficial de seguridad) no escucha música mientras trabaja? ¿cómo llegó esa música a su PC? ¿se la obsequió RRHH?

No desaproveche el ejercicio mental anterior, “vaya carburando su mente de GenX”, porque en breve tendrá en su oficina a la siguiente generación, la mini avalancha de esta nueva forma de trabajar. Ellos por su inherente facilidad hacia el uso de la tecnología (tech-savvy) serán portadores de tecnología de punta con capacidades más y más altas cada vez (y con tamaños menos pretenciosos, visibles y detectables).

¿Será la solución “una de tipo tangencial” como señala nuestro título? ¿tangencial sobre qué o sobre quienes?

Con este artículo, esperamos haberle ayudado un poco, antes de añadir más hw/sw de seguridad para el 2009. Si necesita algo más de ayuda, cuente con nosotros.

CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Un programador y ex-empleado de Lehman Brothers publicó así, en su subasta del “Operating Principles Cube (de Lehman Brothers)“, luego que otros subastadores le pirateran su descripción:

“The sellers just cut and pasted my description. It is that just that kind of mindless follow the leader thinking that sank the company. I met many like that. Sorry but they made me mad…. so I had to add….”

Si está enterado de la crisis inmobiliaria en USA y su impacto en las inversiones de bancos, como en el que trabajó el programador citado arriba, entenderá un poco mejor este post. Sin embargo, en ausencia de tanto transfondo, estoy seguro que puede entrever, por las palabras, su disgusto a la contradicción idiológica y práctica de sus ex-empleadores, una contradicción que debemos evitar a toda costa en nuestros proyectos de culturización de seguridad, despliegue de políticas e instalación de controles físicos y lógicos (perimetrales, endpoint y demás).

¿Cuál es la contradicción? Véa la imagen del Operating Principles Cube de Lehman Brothers y examínelo con paciencia.

Para ser más claros aún, vea este otro.

Coincidentemente, esta clase de contradicciones (repetida adrede cinco veces aquí) es a las que me refería en el último párrafo de mi post anterior, cuando señalé “los que tienen el poder“, y esto no porque acá nos consideremos ilesos, sino porque sabemos curar nuestras le”cc”siones, al aportar la máxima madurez a cada uno de nuestros proyectos. Por ello, conviene reflexionar una vez más ¿de qué sirve una política de seguridad bien redactada y un programa de culturización integral, si los mismos líderes de las organizaciones (incluyendo a los de seguridad de la información) no somos congruentes con nuestros actos (de que sirve la prohibición expresa de portar laptops de índole personal, si TI es la primera en romper la regla)? Parafraseando lo señalado por unos de mis mentores, esta mañana en la web, coincido e reafirmo: “Nuestros colaboradores (hijos) se convertirán muy pronto en nuestros jueces”.

Estimado(a) lector(a), es muy probable que Ud. sea un(a) líder de seguridad de la información, por lo que le hago esta pregunta:

¿está preparado(a) para ser juzgado(a) por su propia política?

Con toda sinceridad, desplegar una política o control no es sólo cuestión de hacerlo bajo una sóla perspectiva (usualmente la de TI), sin antes analizar el impacto sobre nuestra misma forma de operar (la de TI misma y de la otras áreas con poder), y hacerlo Ud. solo(a) -sólo por entenderlo- no es suficiente, va ha necesitar ayuda, va a necesitar una cobertura, un poder externo. Si tiene cómo, nuestra sugerencia, recurra a él.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Antes de escribir este artículo sobre el reto que significa, para la gestión de la seguridad de la información en las organizaciones, el advenimiento de la Generación Y y sus sucesoras, pensé en mostrar el panorama actual de la “seguridad contradecida y salteada” en las empresas.

Este reto es a causa de la tecnología y capacidad portátil. En sí, el reto ya es una realidad, especialmente con los empleados high-tech que poseen la mayoría de compañías en el mundo. Estos pueden ser desde gerentes hasta tecnólogos, que por su afinidad (y no necesidad) portan sus propios dispositivos de información, que van desde un Pen-Drive, su Laptop, hasta su iPhone (con cámara y micrófono).

Así, hoy en día es sumamente transparente tener a un empleado (en nuestra empresa) equipado totalmente con aparatos “propios” que se usaban en el espionaje de la guerra fría. Por ejemplo, un empleado porta hoy su propia laptop en las oficinas de su empleador, ya sea porque le gusta o porque no le proveen una propia, pero principalmente porque se lo permiten.

Pero, siendo totalmente honestos, prohibirle a un colaborador que porte su laptop personal en la compañía es bastante presuntuoso y ridículo, especialmente si ese colaborador es un gerente o inviduo con cierto poder e influencia en la compañía.

Al respecto, hice mi propia encuesta en un foro privado, y recibí como respuesta, lo siguiente:

(la primera) Requieres una política de seguridad severa y bien respaldada por tu gerente”,
(y la segunda) Instala NAC, yo lo he hecho en mi institución hace meses y no tengo problemas.

Con todo respecto, estas son respuestas bastante objetables.

Por supuesto, en mi opinión eso sólo funciona en las bases militares (por cierto tiempo “tan sólo”), en ciertas organizaciones “severamente” reguladas (quizás ¿HIPAA?) o en donde el gerente quiere ganarse el despido. Entonces, ¿qué hacer ante este problema, especialmente si seremos los primeros en romper la regla?

Siendo sinceros, los que tienen el poder, generalmente son los que gozan de inmunidad, y son los que traen la moda de portar y “conectar” sus propios equipos portátiles a la red de la oficina. Quizás por ello, estos últimos sean los que tengan que afrontar el reto de la generación Y (Parte II más adelante).

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Los argumentos de Schneier son correctos en todo sentido. No obstante, cómo le dices a un proveedor que ofrece productos tecnológicos de seguridad, que si en buena cuenta quieres su producto, se lo comprarías al precio detu ecuación costo beneficio.

Creer que lo segundo es utópico es falaz. Ciertamente, se da en toda la industria del hardware y software de seguridad, y aunque -claro- a su tiempo. Productos High-end a precios High-Corporate terminan convirtiéndose en productos Low-end, que hacen lo mismo, sólo que a menor precio, y a otros mercados.

Por ello, aún sin tanta argumentación, no es raro ver a prospectos tecnológicos decirles a sus proveedores el reducir el precio a un 25%, y aún a estos últimos terminar aceptándolo.

¿Viable? No lo crea, mucho cuidado con los cálculos costo-beneficio que (empírica o científicamente) hace, no olvide que los costos de adecuación y de mantenimiento tecnológico pueden terminar (y de hecho así es) por perforarle su billetera, y su cargo ejecutivo, o roer la oportunidad de ascenso.

Finalmente, aunque no es utópico que un vendedor te baje el precio de un producto, si es utópico pensar que éste terminará perdiendo dinero por eso. Cuídese de los costos extras, como dice Schneier, cuídese de los proveedores con una “agenda” bajo la manga, aquellos que no pueden guardar imparcialidad por estar ligados a otros compromisos (especialmenter con terceros “los fabricantes de productos”).

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

De la misma forma que un hacker jamás ingresa a un sistema robusto por la zona más protegida, un criminal informático con cesos jamás ensucia su patio de juego. Los genios creadores de botnets lo saben bien, por supuesto, no todos, hay sus muy malas excepciones. Y es que, cuando un criminal razga su tablero de juego, provoca la atención del dueño del tablero, y pone en riesgo su diversión, o la de otros.

Lo sucedido estas semanas con el malware que fue difundido como si fuera de la PNP (Policía Nacional de Perú), es exactamente eso “un torpe pateo del tablero”, de parte de las bandas que están detrás del pharming en Lima. Aunque con un espíritu más inofensivo, me hace recordar aquella escena de la película Hackers, cuando cambian el registro del oficial de policía a “muerto”. Por supuesto, ya no había más que hacerle, algo así puede pasar aquí, en menor impacto claro.

Aunque la ofensa fue contra una entidad que merece respeto, era un mal deseable: si a alguien se le iba escuchar gritar de dolor, era al que más fuerte podía gritar. Al parecer, sería la única forma de hacer notar a las autoridades judiciales, que ese código procesal penal amerita un cambio. Por supuesto, esto no lo alterará a favor, pero sí generará un precedente notable, muy notable, que ayudará a que los atestados policiales por crimen informático tengan oído real, y los criminales informáticos no queden impunes, o tengan que cargar sólo la mitad de sus condenas.

Ojalá, los criminales informáticos “sin cesos” sigan pateando el tablero, aunque su pateo provoque dolor. Si acaso la historia (The Hacker Crackdown) describen los hechos futuros, entonces aún falta que los más afectados griten, aún más fuerte.

“Without suffering, there’s no compassion” (Mandy Moore en el papel de Jamie Sullivan “A Walk to Remember“)

Javier Romero
JaCkSecurity, CTO
Conocimiento, conciencia y consultoría