¿Bueno o Malo?

Por: Fernando Navarro (STI Telco) - Mayo de 2008

La mayoría de las empresas latinoamericanas aun no toman en serio la seguridad de sus comunicaciones e Internet.

En muchos lugares escuchamos de lo inseguro que es el Internet, que es igual de inseguro salir a la calle: uno nunca sabe cuándo pueda ocurrir una situación desagradable; pero es importante mencionar que debemos estar preparados y es parte de la experiencia y crecimiento del día a día.

¿A qué me refiero con estar preparado? Bueno pues a que desde pequeños nos enseñaron a que si nos acercamos al fuego nos podemos quemar, si jugamos con éste estamos más propensos a quemarnos. También nos enseñaron a que usáramos los cuchillos con cuidado y sólo hasta alcanzar una edad donde tuviésemos más habilidades. Otro ejemplo es el que nos dan al ayudarnos a cruzar la calle y nos obligan a voltear para revisar que no vengan carros, o qué mejor ejemplo cuando nos llevan a lavar los dientes para evitar las caries.

Bueno si no fuera por todos estos ejemplos del día a día y de nuestro crecimiento, no tendríamos las habilidades de protegernos.

Estas conductas deberíamos aplicarlas al uso del Internet, Y es que al entrar al mundo del Cyber-espacio o a la Cyber-carretera, deberemos estar preparados para afrontar los problemas que en ella se presentan.

La afirmación al referir que las empresas latinoamericanas no toman en serio la seguridad de las comunicaciones del Internet, está basada en que no conocen los problemas que esto representa y no toman en cuenta las sugerencias de protegerse antes de sufrir el problema, pero es de notar que sí saben que el Internet es y será una muy buena herramienta para crecer sus negocios y conseguir ofrecer sus servicios a más gente y empresas que lo requieran.

En el tiempo que tengo instalando y configurando redes para empresas de todo tipo, me he encontrado con diferentes estilos de pensar, y también con que los responsables no han profundizado en los diferentes temas que representa la seguridad. Como ejemplo les platico de algunos casos…

En una ocasión platicando con la gente de administración de una empresa me solicitaban la unificación de sus conexiones de Internet y para ellos esa era la prioridad más grande, dado que mucho de su negocio se realiza por este medio y una de sus quejas era la lentitud del mismo. Al plantearle al cliente un análisis de su utilización para saber si los usuarios utilizaban su red en algo mas que no fuera su negocio, me comentaron que era imposible que hiciesen mal uso de ésta. ya que sus usuarios se encontraban tan inmersos en su trabajo diario que era imposible y no era necesario. Después de insistir y de jugar una pequeña apuesta, el cliente accedió a que realizáramos este análisis, los resultados fueron 0 a 1 a favor de este escritor: En resumen, los usuarios se encontraban escuchando música y bajando la misma mientras trabajaban, cabe mencionar que los sistemas que se usan para bajar información son consumidores totales del acceso de Internet. También encontramos usuarios que mantenían conversaciones por largo tiempo y aquellos que en lugar de hacer su trabajo se encontraban viajando por páginas con triple X de reputación.

La pregunta surge, ¿Qué tiene que ver esto con la seguridad, si es más bien un caso de productividad…? bueno, la respuesta es muy sencilla: ¿Quién está seguro de que cuando bajas una canción por estos sistemas no estas bajando información que pueda apoderarse de tu computadora y en consecuencia de la red?, es importante señalar que los ciber criminales usan en particular las páginas de mala reputación así como los sitios mas visitados para implantar sus códigos que puedan apoderarse de sus computadoras.

Así como este caso se presentan muchos como los de correo electrónico, donde un servidor de correo mal instalado y mal protegido, queda vulnerable para que alguien más mande publicidad o propague sus correos con código malicioso o Virus, y que al poner seguridad bien planeada se empieza a rechazar a los que no tienen bien construidos sus sistemas, y al no recibir esos correos empiezan a relajar la seguridad de la misma para poder recibir al que no realizan su correcta configuración y por consecuencia empieza a ocurrir lo esperado.. ¡¡¡PROBLEMAS!!!

Otro caso más es el individuo que por ahorro, compra o instala software antivirus pirata y cree que esa será la solución a su problema sin pensar que esas soluciones no tendrán toda la capacidad o bien dejaran de funcionar y entonces… ¡¡¡PROBLEMAS!!!!

A final de cuentas, no se tiene la costumbre de contratar a personal especializado y con función especifica para atender la seguridad de la empresa en cuestión de las redes o TI y mucho menos están acostumbrados en contratar y pagar los servicios de empresas y consultores en seguridad. De hecho, en la experiencia propia, de 100% de empresas visitadas solo 1 tiene contratado a personal y del 100% de estas el 99% no cuentan con políticas especificas de seguridad, amen de que sea instalar el antivirus en sus maquinas.

Un punto que se les debe aclarar es que para asegurar la navegación en Internet, se deben de conocer los diferentes puntos de vulnerabilidad ya que los ataques cambiaron y entonces debemos de aplicar un COCKTAIL de seguridad que cumpla por lo menos con:

Anti Vírus
Anti Malware
Filtrado de páginas de Internet
Protección y detección de intrusión
Filtrado de correo SPAM

¡Aah! y el viejo y muy importante mecanismo al que la mayoría no le pone atención: el RESPALDO.

Y lo nuevo e importante, es el que los usuarios entiendan como cruzar la carretera del Internet vigilando que no vengan problemas a atropellarlos.

Algo de lo que me he dado cuenta constantemente, y hablo del 100% de las empresas a las que he visitado, es que si tienen una problemática siempre buscan quién fue para despedirlo, y nunca buscan primero concienciar al personal de las diferentes amenazas en el Internet o bien qué necesitan para prevenir estas conductas o vulnerabilidades. Ante este panorama, la pregunta crucial es ¿será por dinero?, ¿será por tiempo?, ¿será por desconocimiento?, En la inmensa mayoría de los casos a los que me he enfrentado es que el encargado de sistemas, administrador o cualquier nombre de puesto que tenga, minimiza el caso y trata de ahorrar con otras soluciones, sin evaluar el costo que tiene el perder información o dinero por no realizar las mejores prácticas de seguridad o por no reconocer que necesita ayuda ó soporte de un especialista. De todos modos estos puntos deberán de evaluarlos las empresas. Pero de lo que sí estoy seguro es de que Zapatero a sus Zapatos y es que si existen personas y empresas especializadas o especializándose constantemente en este tema debiese de recurrirse a estas. Y es que es fácil pensar en que si tenemos que pagar impuestos recurrimos a un contador, si nos duele la muela recurrimos a un dentista y etc., etc.

Hablando de casos reales nos enteramos en los periódicos de los fraudes que existen a cuenta habientes bancarios por robo de dinero, ¿de cuántos casos no nos enteramos por que no se denuncian?, Esto no es para que adopten al Internet como algo malo, es para que busquen informarse de los ataques estructurados y se prevengan.

Si bien sabemos que tener sexo seguro es cuando usamos un preservativo de la manera correcta o no tenemos sexo; de la misma manera debiéramos usar el Internet, con lo necesario para navegar seguros y saberlo utilizar, porque como el preservativo: si lo rompemos, fallamos. Si lo guardamos en el zapato, fallamos. O si lo reutilizamos, fallamos. De la misma manera deberemos utilizar los sistemas de seguridad para el Internet y qué mejor que usar los sistemas especializados llamados UTM.

También, no nos dejemos engañar o mal aconsejar con el amigo que dice “no pasa nada”. Tomemos en serio el tiempo para asesorarnos y sobre todo con la empresa que se comprometa a entender su operación y de esa manera aplicar la seguridad.

Un asunto que me gustara platicar en otra ocasión es como los ciber criminales se apoderan de nuestras infraestructuras para vender sus productos o atacar a otros sin que les cueste, y mientras nosotros perdemos ya que no podemos usar los servicios que compramos o rentamos.

¡Que tengan un seguro y feliz viaje por la Internet!

Verde

Por: Leandro Werder (Fortinet) - Maio de 2008

Como um bom brasileiro que ama futebol, fiquei entusiasmado com a conquista do Campeonato Paulista pelo meu “Verdão” domingo passado e hoje resolvi falar algo diferente neste blog de segurança, gostaria de falar sobre o VERDE.

Vocês devem estar se perguntando qual a relação da cor verde com segurança da informação, na verdade quando disse que iria comentar sobre o verde não quis falar sobre a cor nem mesmo sobre o grande time do Palmeiras ;) quis dizer que queria comentar sobre nosso meio ambiente e ele realmente tem haver com segurança. (Uma descoberta que tive recentemente ao acaso...).

Meus companheiros engenheiros da Fortinet esses dias entraram em uma breve discussão sadia, por e-mail, sobre como nossos produtos podem ajudar a proteger o meio ambiente, fiquei super feliz com discussão já que particularmente considero-me uma pessoa que está sempre tentando ajudar a manter o “verde vivo” (tento pelo menos fazer o mínimo como conservar água, reciclagem de lixo em minha residência, de maneira nenhuma jogar lixo nas ruas entre outras contribuições bem minúsculas, mas que todos deveriam estar habituados a fazer).

Voltando ao mundo de segurança, eu achei interessante alguns pontos observados por um de nossos engenheiros do Japão e sua discussão com nosso pessoal de desenvolvimento de produtos, onde ao final da mesma a conclusão foi que nunca a Fortinet quis se posicionar como a empresa “mais amiga do meio ambiente”, mas chegamos a uma simples equação onde utilizar UTM e também as propriedades de virtualização dos nossos appliances significa menos “caixas” no datacenter e conseqüentemente mais eficiente o uso do hardware com menor consumo de energia (tanto para as caixas como ares-condicionados, entre outros...) e com isso temos em geral a redução de pegadas de carbono.

Realmente interessante o pensamento e a discussão, chegando até mesmo a ser comentado que essa redução no impacto ambiental já é feito durante a manufatura, pois produzimos menos “caixas” para atender um enorme número de soluções de segurança.

Deixa-me feliz saber que hoje as empresas americanas têm essa preocupação sim, e gostaria que cada vez mais os consumidores (nós) utilizassem o impacto ambiental como um fator de escolha de nossos produtos consumidos.

Software, piratería y sociedad.

Por: Francisco del Río (Cero Uno Software) - Mayo de 2008

La cada vez más común costumbre de eliminar lo más posible los artefactos físicos de las soluciones de software, desde manuales de usuario hasta cajas, candados y certificados de autenticidad, en aras de los “bajos costos de producción”; ha contribuido a la fácil reproducción de todos lo elementos que componen las soluciones. Esto ha provocando en el usuario una cada vez más débil sensación de pertenencia e identificación hacia su adquisición, acompañadas de una casi inexistente sensación de culpabilidad ante la copia, compra, venta y distribución de las soluciones de manera ilegítima.

Ante la disminución de los componentes materiales debido a las supuestas ventajas de lo “virtual”, vemos la rematerialización del software reencarnando en “Appliances” de todos tipos, que se adaptan de manera mas exacta a las expectativas de los consumidores de adquirir algo que los haga sentirse “dueños” de algo que se siente y toca, al mas puro estilo de las mas primitivas transacciones comerciales. La dificultad de hurto de componentes físicos hace mas atractiva su adquisición por parte de los consumidores y hace remarcables sus ventajas respecto soluciones “bajadas” de sitios WEB con características similares, fácilmente crackeables y distribuibles.

Como efecto colateral de sus propias acciones al eliminar componentes físicos, el fabricante de software se convierte en victima de si mismo; influyendo e impulsando a la sociedad a la aparente destrucción de su industria, promoviendo la piratería al hacerla mas fácil de realizar.

Lo que destruye a algunos hace crecer a otros, los gigantes crecen y los pequeños se empequeñecen más. Ante la facilidad de reproducción y la baja sensación de culpabilidad, la base instalada de software “gratuito” de gigantes es cada vez mas alta. De esta enorme base instalada un porcentaje es “forzado” por las autoridades a regularizarse, otros por miedo a represalias deciden hacerlo y algunos pocos mas por convicción propia se ponen “al corriente”, representado ingresos de cantidades obscenas anuales, dando entrada en el planeta a algunos de los millonarios del “top ten” de Forbes.

El efecto general resumido es que los nuevos emprendedores de software casi de manera inevitablemente serán víctimas de la piratería, disminuyendo sus ingresos de manera alarmante, es muy probable en un periodo corto de tiempo sus aires emprendedores de vean coartados por los malos hábitos de su mercado meta.

Solo algunos pocos más vivos subsisten al reto “materializando” las soluciones y evitando los efectos colaterales de la “virtualización”.