jueves, 21 de febrero de 2013

Hay cosas que no puedes comprar

Una al día es una fuente indispensable de información para quienes, como es mi caso, se interesan por eso de la Seguridad de la Información. Porque encontrarse cada día con una noticia de interés no es moco de pavo.

Últimamente las noticias hablan mucho de Java. Posiblemente sea lo que toca este año. Y una de ellas cuenta una historia cuanto menos curiosa: Facebook, Twitter y Apple sufrieron fueron "atacados". Equipos de sus redes internas fueron infectados con malware. Y la culpa, dicen, parece ser... de Java.

¿Cómo? Bueno, se supone que estas compañías cuentan con sistemas de seguridad que impiden que nada "entre" en sus sistemas. ¿Verdad?

Sí, verdad. Pero si la montaña no viene... habrá que acercarse uno.

En primer lugar, los ciberdelincuentes conocían una vulnerabilidad de Java y crearon un código mailicioso que se aprovechaba de ella. Después buscaron páginas web a las que la gente de Facebook, Twitter y Apple se conectaban habitualmente y las analizaron para ver si alguna era vulnerable.

Finalmente, infectaron las páginas web vulnerables y les introdujeron el código malicioso que tenían preparado. Y cuando la gente las visitaba... se infectaba. El malware no entraba desde fuera. Eran los propios usuarios quienes, al visitar las webs vulneradas y sin saberlo, "salían a recogerlo".

Se combinan así dos tendencias en esto de la seguridad: el ataque a los puestos clientes y el "envenenamiento de pozos".

Con todo, lo que más me llamó la atención de la noticia fue una frase que decía: "Facebook se apresura a admitir que sus sistemas estaban completamente actualizados y que contaban con un antivirus". Porque mientras nos quedemos ahí, la batalla estará perdida.

Hay una frase que se repite mucho: "La Seguridad no es un producto; es un proceso". No puedes comprar la seguridad. No se puede conseguir a base de instalar o poner en marcha herramientas. No puedes pagar a nadie para que te la proporcione. La verdadera base de la Seguridad consiste en determinar tus objetivos, establecer qué actuaciones debes llevar a cabo, realizarlas, evaluar los resultados obtenidos,... y volver a empezar.

Seguridad tiene más que ver con Altos Mandos, Jefazos, que se implican y establecen políticas acertadas, las ponen en marcha. Con que todo el mundo sabe lo que tiene que hacer y lo hace. Con que los resultados se miden...

Mucho más que con un hacker que explota una vulnerabilidad.

Y por eso, en estos tiempos en los que todo el mundo piensa en soluciones basadas en la nube y en externalizar, puedes comprar herramientas y ponerlas en funcionamiento. Puedes contratar a empresas, a partners que te ayuden en aquello que tú no dominas. Puedes subcontratar algunas actividades. Puedes hacer mil cosas.

Pero hay dos cosas que no puedes hacer. Una es pensar que eso de la Seguridad es sólo un problema informático. Y la otra, dejar en manos de terceros lo que realmente es importante: el enfoque estratégico y global. Creo que si alguien te intenta convencer de lo contrario, no te vende "la nube".

Te vende humo.

No hay comentarios:

Publicar un comentario