Del mismo informe que comentaba el otro día en el post Inversiones en seguridad, ¿un desperdicio?, realizado por la empresa Verizon, y publicado en el portal Computer Weekly, aparece otro dato que, aunque relacionado a las inversiones en seguridad, también resulta muy interesante en otros aspectos, y comparto en libre traducción:
Muchas empresas aún no están haciendo las cosas más simples y baratas, pero a la vez siguen gastando dinero en hacer las cosas más rápido.
La investigación realizada muestra que actualizar los sistemas rápidamente reduce el riesgo en la empresa en un 2% aproximadamente.
Pero simplemente eliminando las contraseñas por defecto (fáciles de adivinar) en los sistemas recorta el riesgo en al menos un 25%, diez veces más que al instalar los parches rápidamente.
Este dato que parece pequeño, es revelador respecto al valor de las buenas prácticas en la seguridad corporativa.
¿Esto quiere decir que no es necesario instalar las actualizaciones de software? NO, nada más lejano a eso. Hay un famoso dicho en seguridad que dicta que mientras los responsables de la seguridad deben considerar TODAS las vulnerabilidades posibles, un atacante necesita sólo UNA para realizar su tarea. Es decir que en lo que respecta a seguridad, deben considerarse todas las amenazas y desarrollar un Sistema de Gestión de Seguridad de la Información que contemple la mitigación de la mayor cantidad de riesgos que sea posible. Ese 2% que según el informe se protege al instalar los parches, puede ser el que, por ejemplo, evite una infección en la red del gusano Conficker, que causó pérdidas en empresas por 9100 mil millones de dólares.
Pero sí es cierto que organizar la seguridad de la información en la empresa es un proceso continúo que tiene un período inicial que puede ser muy extenso, especialmente en organizaciones que hayan descuidado durante un tiempo dichos controles. Y en ese contexto, es donde las buenas prácticas toman la importancia que efectivamente poseen. Se trata de controles que, por lo general, no poseen ni grandes condicionamientos tecnológicos, ni dificultades operativas ni, especialmente, grandes costos asociados; pero que a la vez tienen un impacto moderado o alto en la protección de la información corporativa.
Como se cita en el ejemplo, cambiar las contraseñas por defecto, o como también podría ser utilizar las claves fuertes, rotarlas periódicamente, utilizar un sistema de gestión de usuario y no utilizar usuarios con permisos administrativos en la operatoria diaria; son todos ejemplos de buenas prácticas sobre los sistemas, todas altamente efectivas en lo que respecta la protección de la red en la empresa.
En resumen, el mejor aliado para las tecnologías de seguridad y la educación del usuario, es acompañar estos dos ejes de los que tanto hablamos con las buenas prácticas.
Sebasitán Bortnik
Analista de Seguridad