Hace unos días, a propósito de la llamada de unos técnicos falsos de Microsoft, nuestro compañero Raúl advertía sobre la necesidad de concienciar a los usuarios, tanto personales como profesionales (cada uno tiene una cosa que perder) en los aspectos más de seguridad. Como este es, en general, un blog del ámbito profesional, me permitirá que abandone a los usuarios domésticos a su suerte o a la de su primo informático, y nosotros nos quedemos en el entorno corporativo, que es el que nos atañe.
La cuestión es que la entrada de Raúl me trajo a la memoria una serie de medidas que, allá por el 2007, propusimos en este blog como contrapartida a la concienciación. Es más, como le indicaba en aquel caso, puedo garantizar que con la aplicación gradual de todas ellas podemos reducir prácticamente en un 100% cualquier tipo de fuga de información o problema de seguridad, sin invertir un euro en concienciación. Eso sí, le advierto que el camino no es sencillo.
La primera medida es, como no podría ser de otra manera, inhibir cualquier medio de extracción de información mediante dispositivos o soportes de almacenamiento. Será necesario por tanto inhabilitar los puertos USB, además de desinstalar cualquier grabadora de CD o DVD. Por experiencia le diré que tendrá que lidiar con las quejas de algunos usuarios reticentes a cambiar sus hábitos, pero a la larga el beneficio compensa la molestia. Son, cómo decirlo, esas pequeñas molestias que te hacen el día diferente; pequeños contratiempos sin mayor importancia. Se acabaron al fin los virus que nos llegan por ese USB que vaya a saber usted dónde ha estado antes.
La segunda medida lógica en este proceso es cortar el correo electrónico. Así, de raíz. Porque todo el mundo sabe que no hay mayor peligro que el e-mail. Potencialmente, cualquier empleado malintencionado o un equipo controlado remotamente podría estar utilizando este sistema para mandar información confidencial a cuentas privadas, a potencias asiáticas, a la competencia o incluso a su primo el informático. Además, de esta forma acaba usted de un plumazo con las herencias africanas, las validaciones de seguridad bancaria de bancos en los que no tiene cuenta y las fotografías subidas de tono de la celebrity de moda en formato ejecutable. Así que corte el grifo. No email, no risks.
Ya nos hemos ahorrado muchos problemas, pero no podemos cejar en nuestro proceso de bastionado corporativo. La tercera medida es eliminar el acceso a Internet. No sólo evitaremos el acceso a webmails gratuitos, que son un potencial peligro, sino que evitaremos que un empleado malintencionado o un potencial atacante utilice alguna alternativa como el ftp, ssh o servicios cloud para extraer información. Esta medida también carece de complejidad: Deny ALL from ALL. O puede simplemente arrancar el cable o apagar el router de salida. Es así de simple. Se acabaron los ataques de denegación de servicio, los escaneos de red y cualquier cosa que se le ocurra. Internet ya no sabe que usted existe, ergo no le puede atacar. En este caso las quejas serán algo más enérgicas, especialmente cuando el personal de Administración no pueda conectar a la banca electrónica para realizar las transferencias de las nóminas. Sin embargo, dígales que para eso están los cibercafés. Nuestro objetivo es, ante todo, proteger la información corporativa, no las nóminas del personal.
Seguimos. Si piensa usted que cerrando los USB, el acceso a Internet y el e-mail está a salvo de la fuga de información, está muy equivocado. La cuarta medida es la eliminación de cualquier fax, teléfono, tablet, cámara y dispositivo de cualquier tipo que permita registrar, grabar, transmitir, anotar, fotografiar, enviar o extraer información interna, de cualquier manera. Sí, será necesario que confisque los teléfonos móviles de los empleados y cualquier visitante: clientes, auditores, políticos o hijos de los empleados, si se da el caso. Somos conscientes de que eso puede generar algún ligero malestar entre el personal, pero nada que la promesa de una organización más segura no pueda compensar. Al fin, ya no hemos de preocuparnos de que la información salga por vía telemática, telefónica, electrónica o cualquier otro medio. Estamos llegando (casi) al final.
La quinta medida es eliminar las impresoras y cualquier tipo de material en el que y con el que se pueda escribir, copiar, dibujar, etc.: lápices, bolígrafos, folios, libretas, etc. Nunca podemos estar seguros de que alguien no va a copiar a mano, sin ninguna mala intención, un diseño del último transatlántico que su empresa está fabricando o el listado de nombres y apellidos de los dos mil empleados, y va a acabar perdiendo la hoja con esa información en el metro. Todos sabemos que hay gente muy rara por el mundo, y como suele decirse, mejor prevenir que curar. Por supuesto, deberá cortar el correo postal. De salida, porque no tiene sentido, y de entrada, porque seguro que ha oído lo del Anthrax, ¿verdad? Pues eso.
La sexta (y penúltima) medida viene prácticamente derivada de las dos anteriores. Le hemos aconsejado que prohíba los dispositivos de grabación como los smartphones, y se deshaga de los lápices. Pero, ¿cómo estar seguro de que esa medida se cumple? Piense que un competidor disfrazado de hijo de empleado podría entrar con un móvil en el bolsillo. Pues para evitarlo, es necesario que en el acceso a nuestra organización pongamos dos guardias de seguridad para llevar a cabo cacheos exhaustivos del personal (a la entrada y a la salida, por si quedan dudas). Si además instala los sistemas de seguridad que se utilizan en los aeropuertos estadounidenses, mejor que mejor. Así, hemos llegado casi al final de nuestro recetario de seguridad.
La séptima (y última) medida está relacionada, como no podría ser de otra manera, con las personas que se mueven por su organización. De nuevo, empleados, visitantes, clientes, etc. Si no estaba al tanto, debe saber que cualquiera de ellos está capacitado para memorizar información en su propia cabeza (sí, está demostrado), que luego podría difundir. Por razones que no vienen al caso, no podemos aconsejarle que impida la salida de las personas de su empresa una vez han entrado, ni que tome acciones más “expeditivas”, así que dado que esa no es una opción, debe impedir bajo cualquier concepto que cualquier persona tenga cualquier tipo de acceso a la información. Ya sabe: cualquier persona a cualquier tipo de información. Es decir, no deje que nadie, nunca, de ningún modo, acceda a su organización.
Con estas sencillas y útiles medidas comprobará que, sin invertir lo más mínimo en concienciación, su empresa está totalmente a salvo de cualquier problema de seguridad de la información y por extensión, de cualquier otro tipo.
Podrían ahorrarse la primera, cuarta, quinta, sexta y séptima medida, “simplemente” obligando al trabajador a firmar una cláusula en la que se compromete a no salir nunca más de la oficina del trabajo. Así podrían usar pendrives libremente :D
Sí, es una versión más breve, pero la encuentro demasiado radical :)
¡Fantástico ejercicio de reducción al absurdo! Lo más “divertido” de todo es que he conocido casos reales de aplicación de prácticamente todas las medidas propuestas (incluidas la de cortar el e-mail y el acceso a internet) =:-O
De verdad que este artículo es serio?? Me parece increible,jajajaja. Venga ánimo que ya queda poco para picar código con Bic y un taco de Din-A4. En fin, no comment.
No hombre, ¿cómo va a ser en serio?
¡¡Es un post irónico!!