Una de las características que más me llaman la atención de Virus Bulletin es que la mayoría de las charlas tienen un alto valor técnico. Muestra de ello fueron las charlas de ESET: durante el primer día del evento, una que trató los vectores de compromiso de los navegadores web para comprometer la información financiera de los usuarios y durante el segundo día, o otras sobre Spora y FinSpy.
Por supuesto que también dan lugar a otro tipo de investigaciones, como la que reseñábamos sobre motivaciones del hacktivismo o la que se presentó el segundo día: "Minimum viable security: reaching a realistic SMB security maturity?", a cargo de Claus Cramon Houmann, sobre el estado de la madurez de la seguridad de las pequeñas y medianas empresas.
Cuando se trata de temas más técnicos lo mejor es ir directamente al paper para enterarse de toda la investigación y tener el contexto completo, pero en esta oportunidad me pareció más productivo escribir sobre esta charla y relacionar los datos presentados con la realidad de las empresas en Latinoamérica.
Por cierto, ya tengo en la mira una tercera charla sobre trucos y mitos en una de las herramientas más populares para analizar malware, así que quédense pendientes los más técnicos.
Los retos planteados
Si bien la presentación giró alrededor de las pequeñas y medianas empresas en Estados Unidos y Europa, algo que me sorprendió es que los retos planteados en esta investigación son prácticamente los mismos que afronta cualquier PyME en Latinoamérica.
A continuación presento un listado de 7 retos presentados en esta charla... y podrás decirme luego si no son los mismos a los cuales se enfrentan día a día en nuestra región:
- Las PyMEs no tienen presupuesto dedicado a seguridad, o si lo tienen es muy poco.
- Las PyMEs no tienen tiempo para dedicar a las actividades de seguridad.
- Las PyMEs aún no son conscientes de lo que deben hacer.
- Las PyMEs no cuentan con el personal calificado para realizar las tareas de seguridad de la información.
- Las PyMEs no son conscientes de qué tan importante es la seguridad, si algo malo llegara a ocurrir.
- La gerencia no está enterada de los riesgos.
- Las PyMEs no saben dónde encontrar la información que deberían conocer.
¿Te parecen conocidos algunos de estos problemas? Apostaría que muchas PyMEs se ven identificadas con al menos 5 o 6, si no con todos. Así que estamos con los mismos problemas, pero ahora la discusión en el caso de Latinoamérica gira alrededor de qué tan lejos estamos de poder solucionarlos.
La pregunta obvia: ¿qué podemos hacer?
Ya que tenemos identificados los problemas, es momento de empezar a plantear las posibles soluciones. Y quizá lo primero que hay que lograr es vencer la inercia que tienen muchas de la PyMEs, pues tal como se menciona en la investigación, muchas seguirán haciendo lo mismo sin importar lo que pase en su entorno, y seguirán sin encontrar el valor de implementar la seguridad en sus negocios.
Es por esta razón que llegó el momento de incluir en los planes curriculares de las entidades de educación media y superior la gestión de riesgos de seguridad y sus potenciales impactos sobre el desarrollo del negocio.
Por otra parte, la eterna disputa entre la usabilidad y la seguridad debe llegar a una conciliación favorable para el usuario. Mientras que los controles y políticas de seguridad sigan entorpeciendo las actividades diarias de los empleados estos seguirán buscando la manera de evadirlos.
Y por supuesto, no se puede dejar de lado la educación y las actividades de concientización en materia de seguridad; es importante que a todos los niveles de la empresa conozcan sobre seguridad.
Un framework para PyMEs: MVS
La realidad es que frameworks, guías, estándares y mejores prácticas hay muchas, incluso tantas que a veces cuesta decidirse por alguna o se cae en el error de buscar la más completa en lugar de buscar la que mejor se adapte a cada empresa.
Sin embargo, en esta charla presentaron un marco de trabajo que agrupa muchas de las recomendaciones que damos en ESET, así que quizá valga la pena que le des una mirada para determinar si se ajusta a lo que necesitas en tu empresa.
El framework denominado Minimum Viable Security (MVS) tiene una serie de dominios, de los cuales me parece oportuno mencionar cinco, que son los que me parecen más viables de implementar en la realidad latinoamericana:
1. Reducción de la superficie de ataque
Partir de la configuración del firewall en modo de denegación como estado por defecto; es más recomendable ir abriendo puertos y servicios de acuerdo a la demanda. También la incorporación de ad-blockers en los navegadores y el escaneo periódico en busca de vulnerabilidades pueden ser prácticas que marquen la diferencia.
2. Reglas básicas de seguridad
De estas ya sabemos un montón, ahora el reto es ponerlas en práctica: hacer un backup periódico de los sistemas más críticos y por supuesto probarlo, monitorear la disponibilidad de los sistemas más sensibles para el negocio, garantizar que todos los dispositivos (PC, laptops y móviles) estén cifrados y que en todos se use contraseñas seguras es esencial. Y en la medida en que se maneje información más crítica, implementar un doble factor de autenticación incrementará el nivel de seguridad.
3. Gestión de parches
Hablar de la necesidad de mantener los sistemas correctamente actualizados pareciera algo redundante, pero es un aspecto primordial. Así que es necesario aprovechar las herramientas de actualización de los diferentes sistemas operativos de los equipos de los empleados y, en el caso de los servidores, forzar este tipo de actualizaciones.
4. Políticas y documentación
Sin lugar a dudas hay que partir de la redacción de una política de seguridad, definiendo qué se va permitir y qué se va a denegar, obviamente todo acorde a la estrategia de TI y los objetivos del negocio.
5. Los colaboradores
Este aspecto me pareció el más interesante pero también es muchas veces el más complejo. Hay que encontrar la forma incentivar el conocimiento de los aspectos relacionados con la seguridad y empoderar a los empleados en sus actividades, para que entiendan la importancia de efectuarlas de manera segura.
Claro, ya sé que muchos estarán pensando cosas como “dejar el firewall en modo de denegación por defecto e ir abriendo servicios… me llevará mucho tiempo dejarlo funcional”, “probar todos los backups implica tiempo que no tengo”, “asegurar el cifrado de todas, todas las PC… imposible, el área comercial nunca está en las oficinas y voy a tardar una eternidad” o “documentar los procesos y políticas… ¿es realmente necesario?”.
Para aquellos que quieran saber cuánto tiempo les puede llevar una implementación de este tipo, quiero decirles que no es algo que esté listo de un día para otro. De hecho, durante la charla estimaban una duración de al menos cinco años para lograr un nivel de madurez apropiado.
¿Te parece mucho tiempo? Bueno, no hay tiempo que perder entonces y es mejor arrancar lo más pronto posible. Ya lo decía el filósofo chino Lao-Tse: "Un viaje de mil millas empieza con el primer paso".