La sutil diferencia entre aparentar seguridad y tener seguridad

Seba Bortnik —  21 julio 2009 — 3 comentarios

Hoy un amigo de la casa, DrGen, me envía este gráfico muy interesante:

seguridad

La idea que este gráfico representa, es demasiado frecuente en seguridad informática (aunque también es un error muy frecuente en otras materias). En algunos cursos he dado un ejemplo similar, que grafíca que la seguridad debe ser holística: no tiene sentido comprar una puerta blindada, y una cerradura costosa, si se va a dejar la puerta abierta.

Quienes trabajen o hayan trabajo en seguridad, o redes; podrán aseverar lo mismo que yo: este escenario es muy frecuente en diversas empresas.

Lo que me resulta interesante de todo esto, es pensar a qué se debe esta realidad. ¿Cuáles son las causas para que muchas empresas tengan por algún lado medidas de seguridad costosas y efectivas; pero por otro lado vulnerabilidades demasiado sencillas de explotar?

Bueno,podríamos definir a una causa general, y después pensar las aristas que se desprenden de ella: el desconocimiento. Es decir, quien comete estos errores es porque en primera instancia no entiende que la seguridad debe ser abarcada a lo largo de todos los activos de la organización, y con medidas congruentes para ofrecer protección en diversos niveles de la red y la información.

Aclaro: no estoy hablando de redes 100% seguras porque, por si no lo saben, eso no existe. Es obvio que en algunos aspectos se estará más o menos protegido. De lo que estoy hablando es de cuando se hacen costosas implementaciones en un único aspecto de seguridad y por otro lado se cometen errores elementales en la misma materia.

Extendiendo a la idea del desconocimiento, es muy frecuente ver que la seguridad quede a cargo de personas muy técnicas, muchos de ellos administradores de redes. Aunque muchos administradores de redes conocen mucho de seguridad, no todos lo hacen. Y no todos poseen los conocimientos de gestión o aspectos no técnicos necesarios para hacerse cargo de la seguridad de una red. En estos casos, puede darse el escenario de implementaciones a medias, implementaciones sueltas de aspectos meramente técnicos, que dejar agujeros en otros aspectos.

Por dar un ejemplo muy tonto, el firewall es el ejemplo número uno. Cualquier administrador de red gasta en nombre de la seguridad un monto considerable de dinero para poner un firewall en su red. Pero muy pocos consideran a la seguridad en un plan completo y que contemple otras variables.

Por otro lado, otro motivo para este tipo de situaciones, y que me resulta más interesante aún, es la importancia de aparentar seguridad. Para muchos informáticos la seguridad no es algo por lo que realmente se preocupan. Pero sí saben que “está de moda” la seguridad, y es muy frecuente que gerentes o superiores pregunten “¿Y cómo estamos en seguridad?”. Entonces, siempre es bueno tener a mano alguna implementación importante, un gasto de dinero llamativo, o alguna tecnología de última tecnología para decir: “Sí, acá tenemos mucha seguridad”. La realidad es que, como bien dice el chiste, muchas veces se está muy lejos de tener seguridad, pero es muy probable que ni se note.

Como siempre, escucho opiniones y anécdotas…

About these ads

3 respuestas hacia La sutil diferencia entre aparentar seguridad y tener seguridad

  1. 

    Hasta hoy pude conocer tu blog y me parece muy interesante, te felicito.

    Como tu dices las seguridad informatica es algo muy relativo, en mi experiencia he tenido oportunidad de realizar auditorias de este tipo y que es lo que he encontrado casi siempre ” tienen firewall, dmz, honeypots, switch dedicados, proxys, etc” y dicen estamos 99% seguros de ataques, ¿pero cual creen que es el hallazgo? internamente no segregan las redes, utilizan configuraciones por default, varios usuarios son administradores de los dispositivos, etc, ¿entonces?, “unicamente recordales que el eslabon mas debil en la seguridad de TI siempre seran los usuarios.”

    Saludos espero que algun dia puedas visitar mi blog http://damonzon.blogspot.com/ y si me lo permites colocare un link de tu pagina en el.

  2. 

    Quien quiera que esté actualmente pensando en “aparentar seguridad” tiene un pensamiento simplista y cortoplacista que solamente lo va a llevar a poner su trabajo o el de otros en la línea de fusilamiento al más mínimo problema de seguridad que se presente y de por sí son profesionales que no van a implementar nunca (o quizás solo luego de quemarse) un plan real.

    Quien, por otro lado, lo hace por desconocimiento o falta de presupuesto, necesita comenzar a informarse mejor. No queda otra. El problema es que no siempre se puede llegar a todo el mundo.

  3. 

    Sebastián:
    Ahora que nos conoces gracias a DrGen, te esperamos cuando gustes por nuestra casa ;)
    Muy bueno el post.

    Saludos

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s