Ser despedido de un trabajo de seguridad TI es un evento raro, pero sin duda hay formas de asegurar o acelerar su propio desempleo. Después de todo, la mayoría de los trabajadores de TI crean o viven con muchos pequeños errores todos los días. Esa es la naturaleza de su complejo, y gratificante, trabajo.
Pero también es una gran razón por la que TI no hace un mejor trabajo en la seguridad informática. Como los sistemas se vuelven más complicados y las empresas más responsables de la información privada cada vez más sensible, los riesgos para la seguridad de TI siguen en aumento. Esto presenta una presión sobre los encargados de fortificar las defensas corporativas.
Confíe en sus habilidades, siga las directivas corporativas, y concéntrese en lo básico, y tendrá una larga carrera en seguridad TI. Ayude a que su empresa tenga defensas adecuadas en los lugares correctos, y podrá sobresalir. Pero caiga en uno de los siguientes errores, y tendrá que buscarse un nuevo trabajo -tal vez una nueva carrera.
Error de seguridad No1. Matar la funcionalidad crítica para el negocio
Cada profesional de la seguridad sabe intuitivamente que descarrilar funcionalidad crítica para el negocio es un killer para el trabajo. Estaría mucho mejor si deja que los hackers se queden dentro de la empresa, a que si interrumpan los sistemas centrales del negocio. Esto puede parecer la antítesis de nuestra misión como profesionales de la seguridad, pero después de tratar de ayudar a cientos de empresas a ser más “seguras”, comenzará a darse cuenta de que, desde la perspectiva de la empresa, la seguridad no es la prioridad número 1.
Incluso después de un ataque de hackers particularmente desagradable, cuando el atacante ha recogido todas las contraseñas, comprometido toda la red, y descargado los datos confidenciales, la alta dirección a menudo está más preocupada por la interrupción de los sistemas críticos del negocio que por asegurarse de que los chicos malos se hayan ido realmente. Muchos profesionales de seguridad han experimentado esto, lo puedo asegurar.
De hecho, hay un nombre para esta estrategia: Falla asumida, cuando la compañía acepta que la actividad maliciosa estará por siempre presente en su entorno, y todos deberían conducir la empresa como siempre de todos modos. Es una táctica arriesgada, donde la alta dirección apuesta a que lo que suceda a causa de los hackers -el daño- será menor que el costo de lo que tendría que hacer para asegurar que el hacker se haya ido para siempre (si eso es aún posible). La apuesta funciona bien la mayor parte del tiempo -a menos que el atacante haga cientos de millones de dólares en daños, el público se entere, y el ataque esté vinculado directamente a un detalle que debería haber sido investigado, pero no lo fue.
Pero si usted trae funcionalidad crítica al negocio de forma inesperada por más de un día debido a un nuevo proceso de seguridad o dispositivo, podría estar repartiendo currículums más rápido de lo que se toma hacer una copia de seguridad de la red. Son las reglas de negocio.
Lección aprendida: Aprenda lo que es fundamental para el negocio y no lo interrumpa, a menos que no hacerlo resulte más perjudicial.
Error de seguridad No. 2: Eliminar el acceso del CEO a cualquier cosa
Los CEO son los reyes de su reino. Independientemente de si realmente necesitan tener acceso a un recurso a través de la red, si se le quita de alguna manera el acceso, es probable que amenacen su trabajo. Una vez pasé por agua caliente con un CEO porque bloquee su acceso a la pornografía, al permitir el filtrado de contenido en un nuevo servidor de seguridad que la compañía había comprado. No debí ser “el policía de Internet”, como tan elocuentemente expresó.
He visto CEOs gritándoles a los profesionales de seguridad simplemente porque TI requería que los CEOs pongan una nueva contraseña en sus computadoras o para acceder a una aplicación de alto riesgo. En su mayoría, los CEOs quieren abrir sus computadoras portátiles, hacer clic en un ícono, y acceder fácilmente a todo, aunque la seguridad importe. Todo trabajador de seguridad de TI que ha trabajado directamente con un CEO tiene historias.
Lección aprendida: Asegúrese de dejarle al CEO un fácil acceso a todo, manteniendo la cantidad necesaria de seguridad.
Error de seguridad No. 3: Hacer caso omiso de un evento de seguridad crítica
Si el incumplimiento reciente nos ha enseñado algo, es que ignorar un evento de seguridad crítico puede ser peligroso para su trabajo. Pues resulta que, el software de seguridad de Target detectó la instalación del software troyano utilizado para cometer el hack, pero el equipo de seguridad consideró incorrectamente el mensaje de registro de sucesos como un falso positivo. En lugar de alertar a la administración de que estaban bajo ataque, todo el mundo se quedó en silencio mientras los registros se llenaron con la evidencia de la infiltración. Solo esto costó cientos de millones de dólares, obligó a la renuncia del CEO y del CIO, y erosionó la confianza del cliente en la marca.
Pero, ¿puede cualquiera de nosotros tira la primera piedra? ¿Quién de nosotros no ha abierto los registros de eventos, visto un evento sospechoso, y no haberse puesto alerta? Los sistemas de almacenamiento de eventos de monitoreo se miden en terabytes y petabytes precisamente porque el registro de eventos es una ciencia inexacta. Los registros de eventos están diseñados para acumular acontecimientos de falsos positivos por valor de un millón de eventos que no suceden por cada ataque real que consigue iniciar sesión.
El error en el registro de sucesos de Target es un recordatorio muy público de que algunos “falsos positivos” son más importantes que otros. En el caso de Target, el evento ignorado había registrado que un nuevo ejecutable estaba siendo cargado e instalado. Alguien que analizaba los registros explicó que pensó que era una actualización esperada del sistema. La fácil, pero errónea, explicación, llevó a la empresa a hacer caso omiso a decenas de miles de eventos de detección similares.
Si el CEO y el CIO se fueron, puede apostar que el empleado que le dijo a todos que pasaran por alto el evento también se fue, si es que no lo hizo todo el equipo. La administración se encarga de la elección de la funcionalidad crítica para el negocio sobre la seguridad -hasta que el evento de seguridad impacte la funcionalidad crítica para el negocio. A continuación, el péndulo oscila con rapidez, y ruedan cabezas a medida que las arcas de la empresa son saqueadas.
Lección aprendida: Definir los eventos críticos de seguridad que tienen más probabilidades de indicar una actividad maliciosa, y siempre investigar hasta sus últimas consecuencias cuando se producen. No se puede perseguir todo falso positivo; sepa cuáles son los más mortíferos y ponga la debida diligencia.
Error de seguridad No. 4: Lectura de datos confidenciales
Si el CEO es el rey de la empresa, entonces el administrador de la red es el rey de la red. Sé que muchos administradores de red se han aprovechado de su capacidad de acceso para visualizar datos que no estaban autorizados a ver.
Durante las últimas tres décadas, he conocido a varios profesionales de la red que no solo han visto datos que no estaban autorizados a ver, sino que se jactaron de ello. Eso es estúpido, y no debieron sorprenderse cuando fueron llamados a entregar sus claves y entregar los equipos de la empresa.
Hay una gran advertencia para todo esto: las políticas de uso aceptable. Una vez hice una consultoría para una empresa que se enteró de un empleado de TI que había leído todos los correos electrónicos de la alta dirección. En este caso, la “compañía” era una ciudad, y la alta dirección era el consejo de la ciudad.
El empleado se había jactado en varias ocasiones con otros empleados acerca de tener la capacidad de leer el correo electrónico de otra persona, y más tarde fue capturado leyendo los mensajes del consejo de la ciudad. El empleado fue despedido y presentó una demanda por despido injustificado. El juez concluyó que las políticas de uso aceptable que el empleado firmó no prohibía específicamente este caso de piratería; el empleado se impuso y volvió a su trabajo. Imagine tener que trabajar con ese tipo de nuevo.
Lección aprendida: No acceder a los datos a los que no está autorizado, y considere ayudar a los propietarios/custodios de datos a cifrar sus datos confidenciales con claves a las que usted no tenga acceso.
Error de seguridad No. 5: Invadir la privacidad
Invadir la privacidad de una persona es otra manera segura de poner su trabajo al borde, no importa cuán pequeño o inocente pueda parecer el incidente.
Un amigo trabajaba en un hospital y una vez se enteró de que una famosa celebridad se había registrado. El amigo realizó una consulta SQL rápida y se enteró de que la celebridad se encontraba internada. No le dijeron a nadie ni hicieron nada.
Pocos días después, alguien del personal de atención primaria filtró la información de que la celebridad estaba siendo tratada en el hospital. La administración pidió una auditoría que accedió a los registros de la celebridad. La solicitud llegó a mi amigo, que informó de los resultados de la auditoría e informó de la consulta SQL que hizo él mismo, aunque no haya sido rastreado por el sistema de información. La administración despidió a todos los que accedieron a la historia clínica sin una razón legítima. Mi amigo, que nunca habría sido capturado si no fuera por su honestidad, fue despedido sin remordimiento.
Otro amigo que trabajaba para un departamento de policía realizó unos registros de verificación de una niñera que él y su esposa estaban considerando contratar para que cuidara a su primer bebé. Su acceso fue posteriormente descubierto por una verificación de auditoría aleatoria. El auditor seleccionó un porcentaje muy pequeño de eventos para auditar, y su acceso ilegítimo fue notado. Un empleado de 15 años que alguna vez ganó el título de ‘Empleado del Año’ y fue amado por todos con quienes trabajó, mi amigo, fue despedido. Su pensión se había ido también. Si lo conociera, no podría imaginar que es una de las personas más honestas, más éticas que jamás he conocido. Cometió un error. Él era humano y tenía el poder.
Lección aprendida: La privacidad se ha convertido en uno de los temas principales en la seguridad informática actual. Hace pocos años casi todo el mundo aceptaba que los administradores que tenían acceso a un sistema particular podían echarle una mirada de vez en cuando a los registros que no tenían que ver. Esos días han terminado. Los sistemas actuales siguen cada acceso, y todos los empleados deben saber que el acceso a un solo registro al que no tienen necesidad de acceder puede traerle consecuencias.
Error de seguridad No. 6: El uso de datos reales en sistemas de prueba
Al probar o implementar nuevos sistemas, se crean o acumulan muchos datos de los ensayos. Una de las formas más sencillas de hacer esto es copiar un subconjunto de datos reales en el sistema de prueba. Millones de equipos de aplicaciones lo han hecho por generaciones. En estos días, sin embargo, utilizar datos reales en los sistemas de prueba puede meterlo en problemas graves, especialmente si se olvida de que se aplican las mismas reglas de privacidad.
En el nuevo mundo de la privacidad actual, siempre se deben crear datos de pruebas falsos para ser utilizados en sus sistemas de prueba. Después de todo, los sistemas de prueba rara vez están tan bien protegidos como los sistemas de producción, y quienes realizan la prueba no tratan a los datos con la misma mentalidad como lo hacen con los datos de los sistemas de producción. En los sistemas de prueba, las contraseñas son cortas, a menudo compartidas, o no se utilizan en absoluto. El control de acceso a la aplicación es a menudo muy abierto o al menos excesivamente permisivo. Los sistemas de prueba rara vez son seguros. Es por ello que los hackers adoran explotarlos.
Lección aprendida: Crear datos falsos para sus sistemas de prueba o endurecer los sistemas de prueba que contienen datos reales como lo haría con cualquier sistema de producción.
Error de seguridad No. 7: El uso de una contraseña corporativa en la Web general
Los grupos de piratas informáticos han sido increíblemente exitosos utilizando contraseñas de sitios Web de las personas para acceder a sus datos corporativos. Rutinariamente, la víctima es víctima del phishing con un correo electrónico que supuestamente le lleva un enlace a un sitio web popular (Facebook, Twitter, Instragram, etc.). De cualquier manera, el chico malo tiene contraseñas y apuesta a que la gente las utiliza en otros lugares, incluso con activos de la empresa.
Un grupo particular ha hackeado muchas de las compañías más grandes utilizando el mismo ataque. (No voy a mencionar el nombre del grupo, porque no quiero darle una exposición adicional.) El grupo de hackers tiene acceso a páginas y páginas de información confidencial y ha embarrado a propósito a las empresas comprometidas al hacerse cargo de sus sitios web y cuentas de redes sociales para enviar mensajes humillantes.
Sé de varias compañías que examinan de manera proactiva las bases de datos de contraseñas hackeadas de acceso público buscando nombres similares a los de sus empleados. (Algunos lectores podrían sorprenderse al saber que los hackers suelen colocar las bases de datos de contraseñas violadas en lugares públicos, a continuación, invitan a que otros accedan a ellas.) En todos los casos, las empresas han sido capaces de encontrar al menos unas cuantas contraseñas compartidas (o hashes de contraseñas) y hacer un seguimiento a sus empleados ya comprometidos. En algunos casos, los empleados recibieron educación sobre el uso de contraseña. En otros, donde había una política existente que decía “no comparta su contraseña”, los empleados fueron amonestados o despedidos.
Lección aprendida: Asegúrese de que todos los empleados entiendan el riesgo de compartir contraseñas entre los sitios web no laborales y dominios de seguridad.
Error de seguridad No. 8: Apertura de “Cualquier Cualquier” agujero
Usted se sorprenderá de la cantidad de servidores de seguridad que están configurados para permitir todo el tráfico de manera indiscriminada, dentro y fuera de la red.
Esto es aún más interesante, ya que casi todos los servidores de seguridad comienzan con los permisos menos permisivos de denegación por defecto; entonces en algún lugar del camino deja de funcionar una aplicación. Después de mucha investigación, alguien sospecha que el firewall esté causando el problema, por lo que crear una regla que “permite cualquiera cualquiera”. Esta regla le dice esencialmente al firewall que permita todo el tráfico y que no bloquee nada. Quien solicita o crea esta regla general, quiere que sea solo por un corto tiempo para averiguar qué papel podría desempeñar el firewall en el problema. Al menos, esa es la idea inicial.
De alguna manera estas reglas se quedan en su lugar por un largo tiempo. La mayoría de los entornos que audito tienen por lo menos un router importante con la regla “Cualquiera cualquiera” habilitada. Por lo general, los administradores de firewall y la gente de seguridad de TI se sorprenden al saber que la regla “temporal” todavía está en vigor. Estos agujeros “Cualquiera cualquiera” accidentalmente permanentes, suelen ser descubiertos por los auditores (como yo) o por los hackers. Desafortunadamente, el descubrimiento de estos últimos puede llevar a un paro.
Lección aprendida: No vuelva a permitir reglas “Cualquiera cualquiera”.
Error de seguridad No. 9: No cambiar de contraseñas
Uno de los errores más comunes que puede poner su trabajo al borde es no cambiar sus contraseñas de administrador durante un tiempo muy largo. Mi experiencia en auditoría ha hecho que esto quede muy claro. Casi todas las empresas tienen múltiples contraseñas de administrador no vencidas, antiguas. De hecho, es la norma.
Cada guía de configuración de la seguridad informática recomienda cambiar todas las contraseñas en una base periódica razonable, lo que se traduce en cada 45 a 90 días en la práctica. Las contraseñas del administrador y delos altos ejecutivos deben ser más fuertes y ser cambiadas con mayor frecuencia que las contraseñas de usuario. En la mayoría de las empresas, las contraseñas de administrador son largas y complejas, pero casi nunca cambian.
El trabajo de cambiar estas contraseñas no tiene que ser oneroso. Hay mucho software corporativo que está disponible para automatizar el proceso de cambiar las contraseñas de administrador, incluso la creación de contraseñas temporales de un solo uso. Aun así, incluso en las empresas que utilizan este software, encuentro muchas contraseñas sin cambios.
¿Cuál es la razón de ser de esta práctica displicente? Considere el primer error mencionado al principio de este artículo: interrumpir la funcionalidad crítica para el negocio. Un sistema de software puede cambiar fácilmente las contraseñas de las cuentas de administrador, pero ¿qué sucede cuando se utilizan esas mismas cuentas y contraseñas dentro de otras aplicaciones y sistemas a través de la red corporativa? Si cambia una, pero no la otra, a menudo obtendrá una interrupción del servicio durante el tiempo que no estén en sincronía. Aunque cambie la contraseña en la cuenta y la aplicación, puede tomar un reinicio o reiniciar el sistema para que el cambio tenga lugar.
Esta complejidad operativa termina presionando a los administradores y propietarios de aplicaciones para que eximan sus cuentas a cambios de contraseña forzadas. El miedo de interrumpir los sistemas críticos de negocio engendra prácticas temerarias de contraseñas.
Peor aún, las contraseñas de administrador a menudo son compartidas por la red, conocidas por muchas personas. Estas contraseñas no deben ser compartidas en primer lugar, pero si lo son, tienen que ser cambiadas de inmediato si alguien que conoce la contraseña sale de la empresa. El incumplimiento de esta política es el primer paso para permitir que un empleado despedido o descontento vuelva a la red para causar un gran daño.
Lección aprendida: Cambiar periódicamente todas las contraseñas, especialmente las de administración y servicios de cuentas. Y siempre cambiar las contraseñas inmediatamente después de la separación de un empleado. Además, no utilice cuentas de administrador y contraseñas para alimentar sus aplicaciones.
Error de seguridad No. 10: Tratar cada vulnerabilidad como “la más grande
Una de las peores cosas que puede hacer para su carrera es aullar con demasiada frecuencia. Cada año, unas pocos de las miles de nuevas vulnerabilidades descubiertas se convierten en “la más grande”. Este año, Heartbleed y Shellshock encajan en esto y merecen con razón su atención y rehabilitación.
Pero siempre habrá un importante número de vulnerabilidades que los colegas y los medios de comunicación tratan de vender como el agujero crítico que paraliza su red y sistemas. Se necesita experiencia y habilidad para reconocer lo que realmente merece preocupación. Si entra en pánico en cada última vulnerabilidad “grande”, corre el riesgo de ser visto como alguien que no conoce su trabajo, o que no puede discernir sobre cuáles son las verdaderas amenazas para su negocio. Está garantizado que ponerse a llorar probablemente no haga que lo despidan, pero sin duda puede causar obstáculos para su carrera ascendente a largo plazo.
Lección aprendida: Priorizar correctamente las vulnerabilidades, y tenga cuidado de no socavar su credibilidad con los colegas por perder su tiempo con falsas alarmas.
– Roger A. Grimes, InfoWorld EE.UU.