InfoSecMan Blog

Probablemente cualquiera de los que leeis este espacio y os dedicáis a este mundillo de la seguridad de la información tendréis tantas anécdotas como yo (o quién sabe si no más). Creo que todos hemos visto organizaciones en estados de real precariedad en lo que a implantación de medidas de seguridad se refiere.

Pasan los años y no dejo de sorprenderme con estos hallazgos. Cuando uno empezaba en estos temas y acudía a alguna gran organización, en muchos casos multinacional en la que, a priori, esperaba encontrar altísima tecnología, excelente organización y grandes profesionales dedicados a este área, me sorprendía encontrarme con compañías con unos niveles de madurez bajísimos en todos los sentidos. Me parecía increíble que compañías con tanto nombre, recursos y capacidades pudiesen estar en un estado tan lamentable.

Lo que primero comenzó siendo una sorpresa y en cierto modo, hasta un desengaño o desilusión, comenzó a ser algo habitual y la sorpresa pasó a ser (aún sigue siendo así) el encontrarse con organizaciones concienciadas o al menos mínimamente preocupadas por su seguridad, y que lo demuestren en su estrategia y su día a día.

Hablo de compañías multinacionales, algunas de ellas cotizando en bolsas como la de Nueva York (con todos los requisitos de cumplimiento asociados, al menos teóricamente), otras nacionales con gran renombre y otras, menos conocidas, pero con grandes recursos.

Pero reflexionando un poco sobre esto, lo que realmente me sorprende es que estas compañías no tengas más incidentes de seguridad… aunque en algunos casos sí que los tienen, pero no son conscientes de ellos (como solemos decir mi amigo Nacho y yo, “estos seguro que tienen a alguien viviendo dentro”, de sus sistemas, se entiende).

¿Suerte? Compañías con altos índices de rotación de personal, con una política de retención pobre y que tiempo después de que su personal abandone la compañía mantienen activas cuentas, servicios, accesos que pueden ser explotados (realmente, deberíamos decir utilizados) por antiguos usuarios. Y sin embargo, no pasa nada.

¿Bondad? Quizás debamos creer en la bondad del ser humano. Quizás quien gana acceso a este tipo de organizaciones, decide no causar daño alguno ante la “ingenuidad” que demuestra al no protegerse mínimamente… o quizás prefiera no “hacer ruido” para utilizar esos accesos de alguna forma ventajosa para él.

¿Falta de información? Quizás muchos scriptkiddies o hackers conocidos no muevan sus objetivos hasta estas empresas porque supongan que sus medidas de seguridad son mucho más elevadas, y si encuentran algo tan obvio piensen, repiensen, mediten, examinen y estudien el hallazgo para comprobar que no es una trampa, que no es un honeypot… (“no puede ser tan fácil, estos me están vigilando, seguro…” ).

Sea como sea, siguen “librándose”. Librándose de las pérdidas económicas directas, librándose de la pérdida de reputación de su imagen, librándose de las fugas de información, librándose del espionaje industrial, librándose de las sanciones por incumplimiento… y ¿cómo? … quizás con suerte.

Después, como es lógico, uno llega y tras pasarse un tiempo estudiando la organización presenta un plan de mejora y la dirección se sorprende: pero cómo se va a invertir esos recursos en algo que, aparentemente, no hace falta…. esa suele ser la reacción salvo que, 3 días antes, a ese mismo consejero delegado, le haya entrado un pequeño virus casi inofensivo, en cuyo caso firma el presupuesto de millones de euros sin apenas pensárselo 2 veces… ¿curioso, verdad? … o ¿penoso?

Hace falta continuar evangelizando. No penséis que ya está todo hecho, ni siquiera en las grandes organizaciones y con muchos recursos. Queda mucho camino por andar. No caigamos en el error de mirarnos el ombligo y pensar que todas las organizaciones tienen nuestras preocupaciones en cuanto a las métricas, el cumplimiento, los estándares, la continuidad de negocio, ISO 27001, BS 25999, ISO 27008, certificaciones profesionales…. probablemente, no sepan de su existencia y es nuestra labor ir evangelizando allí por donde pasamos, ¿o no?