10 aspectos de Seguridad Informática inspirados en tu vida diaria

Autor: Sergio Rico Muñoz

Todos somos conscientes que la seguridad informática es un área técnica sumamente enrevesada y repleta de elementos a cada cual más complejo: cortafuegos, antivirus, amenazas, auditorias, y un largo etcétera. Es imprescindible una actualización continua de la infraestructura y sobre todo de los recursos y formación del personal para mantener los niveles de seguridad elevados, y poder dormir por las noches, ya que un problema grave de seguridad informática puede tener consecuencias catastróficas a nivel profesional o personal.

llaves fondo claro

No obstante, hay algunos conceptos básicos de seguridad de TI que permanecen en el tiempo, que nunca deben olvidarse, y que no son tan diferentes a los que aplicamos a la seguridad de nuestros hogares o en nuestra vida diaria. Basados en el sentido común y en la experiencia en sistemas reales, el siguiente decálogo de principios de la seguridad puede ayudar a que los árboles permitan ver el bosque:

1.- ”No puedes vivir seguro en un palacio lleno de puertas y ventanas”: Ten en cuenta que securizar una habitación de paredes de hormigón es mucho más simple. Quizás sea más triste vivir en un cuarto sin ventanas, pero cuantas más puertas queremos abrir, es decir, más funcionalidades de conexión queremos implementar en nuestros sistemas, más fácil es que cometamos un error que genere una vulnerabilidad. En definitiva, es la aplicación del viejo axioma de TI llamado “KISS”: “Keep It Simple, Stupid”.

2.- ”El ladrón va a entrar por la ventana del aseo”: Otro axioma de la seguridad es que la cadena se rompe por el eslabón más débil. Hay que identificar y mejorar esos puntos débiles porque son los primeros que cualquier atacante malicioso va a probar.

3.- ”Si pones muchas cerraduras, te va a pesar el llavero”: El aumento del nivel de la seguridad implica la imposibilidad de utilizar algunas de las opciones técnicas por muy útiles que parezcan (véase dropbox). Por desgracia, hay que asumir que el aumento de la seguridad casi siempre significa un aumento de la carga administrativa o de lentitud de los procesos, en definitiva, de engorro en las tareas cotidianas de los usuarios, salvo contadas excepciones.

4.- ”Un candado herrumbroso no te protege de nada”: Por ejemplo, un antivirus de mala calidad o sin actualización permanente, o bien una política de cortafuegos mal definida, puede ser muy perjudicial. La falsa sensación de seguridad es más peligrosa que la propia inseguridad. Pero incluso el escándalo del espionaje de la NSA americana ha puesto en entredicho la confidencialidad de muchos de los sistemas en la nube que alardeaban de alto nivel de seguridad.

5.- ”No te dejes las llaves del coche en el bar”: También conocido como “el factor humano”, es una de los problemas de seguridad más recurrentes. No gastes mucho dinero en comprar sistemas de seguridad de última generación si pegas post-it con las contraseñas en el monitor. En este sentido, es importante considerar la formación del usuario final como parte de proceso de securización informática.

6.- ”No le digas a todo el vecindario que te vas de vacaciones”: Relacionado con el anterior punto, la profusión de uso de las redes sociales implica que mucha más gente de la que creemos accede a información sensible, permitiendo un uso intensivo del “hacking social”, es decir, de obtener información que permite la intrusión sin necesidad de contar con sofisticados mecanismos informáticos. Por ejemplo, es famoso el hackeo de la cuenta de correo de una celebrity que usaba como contraseña el nombre de su perrito, que a su vez, estaba en todos sus perfiles sociales. Hacerse fotos sin ropa y subirlas a una plataforma en Internet demuestra primero cierto déficit de sentido común antes que una brecha de seguridad en la nube.

7.- ”La caja fuerte es pequeña y está escondida”: Es imposible pretender securizar todos los aspectos del trabajo de TI al máximo nivel. Es mucho más eficiente identificar cuál es la información realmente importante y centrarse en establecer mecanismos potentes para su protección.

8.- ”Primera regla del CLUEDO, El mayordomo es el asesino”: El mayor problema de seguridad suele venir del interior, no de un ataque externo. Los cortafuegos no pueden hacer mucho si un usuario ha instalado un software con un troyano que permita el control remoto del PC, permitiendo que el atacante actúe como si estuviera sentado dentro de la empresa. Por otra parte, las fugas de información y los sabotajes suelen deberse a empleados descontentos que actúan con los máximos privilegios de acceso.

9.- ”Si te quieren robar, date por robado”: Lo único que podemos conseguir es elevar nuestro nivel de seguridad, pero la seguridad perfecta no existe. Por desgracia, no existe ningún sistema de seguridad completamente seguro. Este argumento derrotista no debe servir para tirar la toalla, si no para redoblar los esfuerzos en materia de seguridad. Ánimo.

10.- ”Regla de Mazinger Z: La batalla no termina nunca”: Si en el anterior consejo el foco estaba en la imposibilidad de alcanzar el “nirvana” de la seguridad, esta última recomendación es su consecuencia: la seguridad es un proceso continuo que nunca finaliza, ya que las amenazas siempre tratarán de escalar el siguiente peldaño del muro de seguridad que debemos construir.

 

Sergio Rico Muñoz es Ingeniero de Telecomunicación por la ETSIT de la Universidad de Málaga. Desarrolla su labor profesional como Jefe de Departamento de Gestión de la Tecnología (Sistemas y Comunicaciones) del Centro Municipal de Informática del Ayuntamiento de Málaga, impulsando el avance tecnológico de la administración local en todos los aspectos estratégicos y de gestión de infraestructuras de TI, así como dirección de proyectos en entornos de data center redundantes, redes propietarias de fibra óptica e inalámbrica, telefonía y video IP, móvil, seguridad, bases de datos, virtualización, gestión de equipos y diseño de servicios. Tocaba el saxofón y dibujaba.

<Nota del editor (Juan Jesús Ros Guzmán): Agradecimientos por la contribución en el Blog de Sistemas de Información>

Un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s