Hace unas semanas leí una noticia sobre el robo de una laptop de la NASA que tenía información relevante para el manejo de la Estación Espacial Internacional. En Twitter hubo varios comentarios burlones respecto a cómo podía ser que un equipo con ese tipo de información hubiera estado sin cifrar y que ahora estuviera extraviada.
Es fácil señalar al caído cuando a uno mismo no le ha tocado un hackeo y nos creemos un fuerte diamante casi invulnerable a una “brecha de seguridad” (como le dicen amablemente a una penetración o hackeo).
¿Es tan difícil proteger a la información? Según esta lista de “brechas” pareciera que sí lo es, y puntualizo que dicho listado es sólo de los últimos 15 meses a la fecha y únicamente registra lo que ha salido a la luz pública. En ese “inventario” de incidentes se encuentran víctimas de todo tipo, incluidas corporaciones dedicadas a la seguridad informática, del sector privado y de gobierno.
En ocasiones pienso que el personal de las corporaciones ve las noticias de hackeos (que ya hasta salen en las noticias de la tele) y suponen que “eso no pasa aquí, tenemos un buen nivel y además, quién querría hackearnos?”. Y ciertamente, señalan “lo mal que esa otra compañía protegió los datos” y que “cómo es posible”. La pregunta es: y entonces debemos entender que hay numerosas organizaciones que son muy buenas cuando de proteger a la información se trata?
Hagamos un examen de conciencia. ¿Cómo protegemos a la información? Si la respuesta es que tenemos un antivirus, un firewall corporativo y una política de seguridad puede ser que nuestra percepción de cómo se debe proteger a la información en este 2012 esté distorsionada.
Proteger a la información significa proveerle seguridad en todo su ciclo de vida: al crearla, al usarla, al compartirla, al publicarla, al enviarla, al guardarla y al eliminarla.
Ahora bien, es relativamente fácil sentarse y gestionar la seguridad en un par de equipos de cómputo con un pequeño puñado de usuarios; más sencillo es proteger un solo equipo donde un usuario experimentado tiene el conocimiento para endurecer su entorno. Desde ese punto de vista es fácil dibujar una pequeña sonrisa burlona cuando llega la noticia de un hackeo a un corporativo.
Otra historia muy diferente es proteger cientos de servidores, miles de computadoras personales con miles de usuarios inexpertos enfocados en hacer su trabajo que NO es el de dar seguridad a sus datos. Decenas de aplicaciones hechas en casa y cientos de programas comerciales. Decenas de ruteadores, switches y subredes. Dispositivos móviles por aquí y varias laptops por allá. Excepciones a las reglas en el firewall perimetral y en el antispam. Empleados empujando por abrir su entorno de TI y el área de seguridad peleando por restringir y proteger. En general, ese es el ambiente corporativo. ¿Y saben? No es fácil dar protección real y efectiva a una infraestructura corporativa de TI y a la información que ahí vive.
El primer obstáculo para proteger la información es no estar preocupado o interesado por protegerla. Otro es tener la debida preocupación pero no saber por dónde empezar. Uno más es tener un marco de referencia que indique el camino a seguir pero no tener presupuesto o el poder político dentro de la empresa para empujar iniciativas de seguridad. Y ojo, no se necesitan incontables montones de dinero para gestionar la seguridad de la información de una manera efectiva.
Proteger la información no se lleva a cabo leyendo artículos como este y asentando la cabeza en señal de aprobación. Hay que tomar acciones orientadas a aprender lecciones de incidentes ajenos, administrar los riesgos y gestionar la seguridad de la información para tener mejores oportunidades de resistir a los ataques informáticos de hoy. Los dejo con una pregunta: así como una cabina de un avión tiene numerosos indicadores de vuelo, su cabina corporativa ¿qué métricas arroja como para afirmar que su nivel de seguridad es el adecuado?
Nos estamos tuiteando en @FaustoCepeda.
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.