Vamos con un caso hipotético: Fulanito Pérez ha ingresado a la organización. Es una persona seria, honesta y responsable, ha mostrado las habilidades necesarias para ocupar el puesto vacante y al final se ha decidido que es la persona idónea para el puesto. Luego de las formalidades Fulanito Pérez se presenta en su primer día de trabajo.
Parte de sus obligaciones lo ponen en el uso de una computadora y de acceso a documentos y servicios en internet e intranet. Fulanito Pérez no tiene una formación informática, y la organización no tiene un departamento o tan siquiera un responsable de tecnologías de información, de tal manera que no hay políticas ni infraestructura de seguridad actualizada.
Luego de algunos días Fulanito Pérez descubre que el tiempo pasa lento cuando no hay mucho que hacer, así que usa su terminal para acceder a internet, chacotear un poco en el messenger, ¿Facebook? ¡Ok! Hay que actualizar el estado, ahora pondrá que trabaja en una nueva organización y que su puesto es envidiable. Sin saberlo ha empezado a hacer más grande su sombra digital.
A veces Fulanito Pérez ha requerido de la ayuda de sus compañeros, por lo que les ha dado el usuario y contraseñas de los servicios que tiene habilitados en la página de internet de la empresa y de su usuario en la computadora. Otras veces ha sido levemente hostigado por algún otro compañero, a ese sujeto tal vez se le pierda algún reporte o se le borre alguna aplicación de su computadora, nadie podrá acusar a Fulanito Pérez porque nadie lo vio hacer nada, solo él sabe lo que hizo.
Dos o tres semanas después Fulanito Pérez ya es un as del internet subrepticio. Se ha vuelto tremendamente ágil en la tarea de ocultar todos los procesos abiertos en su escritorio y mostrar una hoja de cálculo justo cuando un compañero o su jefe pasan al lado. A estas alturas Fulanito Pérez ya está descargando películas y MP3 por las redes P2P, ha descargado algunos juegos y programas que le son útiles en su labor, como un quemador de imágenes ISO, o un lector de archivos XML, con su respectivo generador de contraseñas, claro.
Por supuesto que para aprovechar los programas, las películas y los audios que diligentemente ha descargado hay que transportarlos en una unidad de almacenamiento USB que es de su propiedad y que ha ido y venido por cualquier puerto de computadora cual promiscuo marinero mercante. Lo que no sabe Fulanito Pérez es que esos programas en realidad no son gratis, son el vehículo desde donde una botnet ha instalado sus agentes. Ahora las máquinas que Fulanito ha usado con su USB son zombies controladas por un grupo desconocido de individuos. Tal vez en un futuro cercano, cuando Fulanito no esté, estas máquinas sustraerán a través de la red local información sensible, como cuentas de correo o de banco.
Fulanito Pérez también es habilidoso para navegar por la red interna de archivos y gracias a su perspicacia y a que genera confianza entre sus colegas a estas alturas conoce ya bastantes contraseñas de algunas computadoras y del sistema de la empresa, que sus compañeros le han dado por Messenger o email alguna que otra vez cuando han necesitado que fulanito haga algo por ellos. Esto quiere decir que si hay algún sistema llevando el registro de accesos no será confiable, puesto que no indicará cuando es que Fulanito Pérez realmente entró en alguna computadora, pues en lugar de su acceso estará registrado el de su compañero que le cedió su contraseña. Igualmente, al enviar información no cifrada por chat o correo, esta ha quedado expuesta y lista para ser leída por cualquiera con motivación suficiente para hacerlo, y en estos días a veces esa motivación y un poco de esfuerzo en Google bastan.
Algún tiempo después Fulanito Pérez está chateando en el Messenger con un amigo, Zutanito, el cual resulta que tiene un negocio del mismo giro que la empresa donde trabaja Fulanito Pérez. Zutanito tiene algunas dudas con respecto a cómo tratar una situación. Fulanito Pérez tiene las respuestas, pues el tiempo que ha pasado en su nuevo puesto de trabajo le ha dado la experiencia necesaria para echarle la mano a Zutanito y así lo hace. Zutanito le estará muy agradecido a Fulanito Pérez por el detalle. Con esto Fulanito Pérez y sus buenas intenciones han armado gratis a un competidor en ciernes con información que a la organización le ha costado mucho esfuerzo y fracasos adquirir.
Fulanito Pérez es diligente y le gusta dar resultados, por lo que algunas veces se ha llevado el disco duro portátil de la organización y ha ingresado a la base de datos que se aloja en el sitio web no cifrado desde su casa, con la misma computadora donde toda la familia que tiene algo que hacer con internet lo hace. La red inalámbrica donde esta computadora se conecta no tiene contraseña, pues es una lata para los primos cuando llegan estar copiándola de debajo del modem, o tal vez sólo tenga la clave WEP que venía de fábrica. No importa, cualquiera de estas dos opciones hacen a la red de la casa de Fulanito Pérez vulnerable.
No todo es miel sobre hojuelas, en la organización corre el rumor de que hay recortes de personal. Un buen día Fulanito Pérez es enterado de que la crisis le ha purgado del sistema laboral y deberá decir adiós a la organización. Fulanito Pérez no tiene opción, así que antes de irse pone en su USB algunas listas de precios, contactos de clientes y archivos de un proyecto que la organización está por iniciar y que encontró por la red interna en carpetas de diversos equipos, tal vez le puedan ser de utilidad.
La organización ha sido víctima, a través de Fulanito Pérez, de su propia ignorancia, al no cubrir los fundamentos de la seguridad de la información. Ha creado en Fulanito Pérez un enemigo interno, la causa más común de fugas y desastres informáticos, aún más que si hubiera sido expuesta al ataque de un hacker ruso. En una cadena de seguridad el usuario interno siempre es el eslabón más débil.
Para no caer en los riesgos que conlleva tener un Fulanito Pérez en la organización es necesario elaborar una política interna de seguridad informática, donde se deben cubrir al menos los siguientes aspectos:
- Identificar la información que representa un valor para la empresa y donde está contenida.
- Designar usuarios y sus derechos de uso – Como el usuario puede o no puede usar esa información, incluyendo el retiro o la comunicación de la misma. En este apartado hay que considerar que el uso de la información se debe basar en el principio del “pode hacer”, el cual establece que se deben otorgar los permisos suficientes para que el usuario pueda llevar a cabo su labor, pero no más allá. Los derechos (incluyendo, claro, el uso de contraseñas) son intransferibles y deben ser revocados en cuanto el usuario abandona la organización.
- Obligación de resguardo y confidencialidad – Los usuarios tienen el deber de cuidar la información y la infraestructura que la contiene no dañando, sustrayendo, exponiendo, comunicando o accesando a las mismas en lugares no controlados.
- Uso adecuado y mal uso – La política de seguridad debe poner de manifiesto lo que considera un uso adecuado y lo que se considera un mal uso. El viejo refrán de seguridad “Lo que no está permitido debe estar prohibido” aplica bien en este apartado.
- Auditoría – La información puede y debe contar con sistemas que permitan el seguimiento de los accesos por parte de los usuarios.
Estos son los aspectos fundamentales que debe cubrir una política interna de seguridad informática. Cuando los colaboradores de la empresa son enterados de la misma funciona también como un elemento disuasivo que sirve para proteger la información de valor de la empresa. Otros aspectos a cubrir son:
- Cómo auditar y proteger los bienes, sistemas, equipos y procesos – Desde el sencillo antivirus hasta el tracking de equipos de cómputo, pasando por el cifrado de comunicaciones y firewalls, respaldos y redundancias, etc.
- Cuáles son los riesgos hoy por hoy de poseer una infraestructura tecnológica – Incluyendo las amenazas conocidas, el seguimiento de amenazas zero day, los mecanismos conocidos de vulneración de la seguridad, etc.
- Qué características debe tener el responsable de la seguridad informática – En las grandes corporaciones se cuenta con la figura del CISO, en otras sus funciones las asimila el CIO, pero sea cual sea el tamaño de la empresa definitivamente alguien debe tener la responsabilidad de saber qué está pasando y cómo hacer frente a una eventualidad de índole informática.
Tal vez sean medidas que parezcan paranoicas, pero desde mi experiencia personal esto es lo mínimo de lo que se debe estar consciente si la empresa u organismo cuenta y más aún, si depende de un sistema informático para funcionar.
