El mundo de la seguridad IT está lleno de sorpresas, es apasionante, es el catalítico que hace que los objetivos empresariales se conviertan en tangibles. Sin embargo, ¿es todo el mundo consciente de que IT debe ser una de las piedras angulares sobre las que se construyen hoy en día las empresas?

Normalmente los departamentos de seguridad informática son ignorados siendo sus recursos, por lo general, obviados e incluso vilipendiados. Hay una razón para esto: mantener un departamento de seguridad IT al día no es barato y, normalmente, aquellos que deben exponer las necesidades tecnológicas no tienen la capacidad o la oportunidad para poderlo trasmitir al público adecuado. Una inversión requiere de una rentabilidad o, por lo menos, de una estimación de pérdida de oportunidad (i.e. que la empresa no funcione correctamente) si no se hace. Dicho esto, es mucho más caro no hacer nada con el departamento y correr el riesgo de que algo deje de funcionar, ése es el momento en el que todo el mundo se acuerda del departamento IT.

Las necesidades de seguridad informática son cada vez más patentes en nuestra sociedad, si bien debería decir que es la falta de cubrir dichas necesidades lo que está haciendo que sean noticia de primera página:

  • Recientemente (12-15 Mayo 2017) el “malware” Wannacry hizo temblar a todas las empresas del mundo con su amenaza de secuestro: Ransomware spreading at World Wide level.
  • Durante el fin de semana festivo en Inglaterra del 27-29 Mayo 2017 ha sido British Airways (BA) la que ha tenido el dudoso honor de ser portada en todos los telediarios y periódicos al ser incapaz de hacer volar sus aviones a raíz de un “supuesto” problema IT – eléctrico.

Sinceramente, ninguno de los dos debería haber sido noticia importante si de verdad se planificara e hicieran las cosas con la profesionalidad y el rigor debido. En el caso “Wannacry” los rumores indican que se originó al utilizar los hackers una herramienta que robaron a la NSA (Agencia Nacional de Seguridad de EEUU) la cual explotaba una vulnerabilidad para la que Microsoft ya había generado un parche (solución) en Marzo:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

En el segundo caso, con BA, cuando todavía no se conocen las causas reales del “incidente” y por cuanto tiempo sus usuarios se verán afectados, las primeras palabras oficiales de la empresa derivando las culpas hacia un problema “eléctrico” no parecen sonar convincentes. A falta de conocer la resolución al problema parece increíble que algo así pueda “tumbar” los servicios de toda una institución como BA.

Sinceramente, ambos “percances” están cobijados bajo el mismo paraguas y no es otro que el desinterés final por hacer bien el trabajo tanto de manera voluntaria como involuntaria: Puede ser por falta de conocimiento, falta  de control, falta de realismo a la hora de manejar los riesgos de lo que se tiene entre manos, falta de inversión o una falta de planificación que, para mí, es el peor pecado que se puede tener en un departamento. Como expliqué en el post “The day after the down: Malware & Ransomware, what to do next? los hackers, intruders y piratas en general toman ventaja de aquellos sistemas en los que la tecnología, y todo lo que le rodea, deja bastante que desear.

Hay una máxima que he mantenido a lo largo de los años y la cual evita muchos quebraderos de cabeza:

Controla la situación o la situación te controlará a ti

Por sencillo que parezca no todo el mundo parece entenderlo. Todo lo que funciona tarde o temprano dejará de hacerlo: no existe el movimiento perpetuo, no se ha descubierto la energía infinita ni tecnología que no necesite de una revisión o de un mantenimiento. En el caso de BA se hace raro que, ante la caída de un sistema eléctrico, no haya entrado otro a funcionar en su lugar. Adicionalmente, si a raíz de que por dichas caídas eléctricas algún sistema se haya estropeado, sería aún más raro que no hubiera entrado otro a funcionar de manera automática inmediatamente. Todo esto genera un ambiente enrarecido de ineficiencia e inseguridad, no importa cómo se quiera vender.

Éstos no son más que dos ejemplos de la vida empresarial y el problema no es caer. El problema es levantarnos y no aprender de los errores pasados. En 1993 el IRA hizo estallar una bomba en el distrito financiero de Londres, destruyendo un gran número de oficinas (1993 Bishopsgate bombing). Un 74% de las empresas tenían un plan de contingencia y de seguridad con lo que pudieron empezar a trabajar poco después. El 26% restante pudo trabajar a duras penas y la mitad de estas empresas sin un plan previo cerraron en menos de un año al no poder continuar con el modelo de negocio. Hoy en día es impensable que exista una sola empresa que no tenga dichos planes de contingencia y de “disaster recovery”…excepto BA.

La realidad hace que en el día a día se vayan cubriendo necesidades con la esperanza de que todo funcione con la mínima inversión, que no esfuerzo, pues normalmente las caídas de los sistemas de seguridad informática hacen que sus departamentos tengan que hacer horas (si no días) extras. Si realmente se implementaran los recursos y medios necesarios muchas menos cosas pasarían…y sí, digo muchas menos cosas porque siempre, siempre pasarán cosas. De lo que se trata es de estar lo mejor preparado para cuando ocurra una incidencia. A la hora de preparar los presupuestos del departamento siempre se tiene la misma conversación: ¿Para que se necesita tanta inversión? “Nosotros no somos Microsoft” o el tan común ¿No podemos seguir utilizando lo que tenemos?

Desafortunadamente en la mayoría de los casos, y mientras las cosas sigan funcionando, el presupuesto pasará por ser el mínimo imprescindible, poniendo remiendos e intentando estirar los servidores, switches, etc otro par de años…ñapas que al final se pagan caras. Este mal endémico está establecido a nivel mundial, lo que no lo convierte en una práctica correcta. Como sufrimos recientemente esta situación provoca que un problema local se convierta en global por la interconexión y dependencia que hay entre instituciones. Mucho hay que hacer todavía pues no estamos mas que en el inicio de una era y pueda dar mucho que pensar al implementar tecnologías de nuevo cuño, como el “Internet de las cosas”.

Afortunadamente no todas las empresas fallan en lo mismo. Hay empresas que realmente quieran poner remedio a situaciones críticas que hayan vivido con anterioridad o quieren mejorar su situación general, bien por la presión de los competidores, bien por regulaciones legales que hacen que tengan que tomar medidas, etc. Estas medidas pasan desde el uso de nuevas tecnologías al empleo de personal que cubra el espectro tecnológico obviado y que en cada empresa puede ser diferente.

Siguiendo en la línea errónea de que “menos es más” el peligro vendrá por pretender cubrir necesidades de varios tipos con un único recurso, el cual se hará a todas luces insuficiente. Es mejor cubrir unas necesidades específicas cada vez, estableciendo qué es lo que se puede y qué es lo que no. Intentar alcanzar metas demasiado altas demasiado pronto no siempre es sinónimo de éxito. Actualmente, y por oportunidad de mercado, nos encontramos con múltiples (nuevas) firmas de seguridad, infraestructura, expertos en ciberseguridad, auditores, arquitectos IT y profesionales de todo ámbito por doquier. Aquellos que nos pretendan vender el escenario de que una única persona lo puede todo no hará otra cosa mas que enrevesar y confundir la situación.

Con esta manera de actuar, lejos de controlar la problemática en su totalidad y tomar medidas a nivel estratégico para luego centrarse a un nivel más preciso, se estarán dejando cabos sueltos. Los expertos son expertos en algo específico. Intentar subsanarlo todo aplicando la misma receta para toda situación supondrá que ciertas áreas no se traten como se debieran. Es más, una solución correcta en un mercado o en una industria puede que no dé los mismos resultados si se traslada a otros ambientes.

En general, desafortunadamente, pocos aprenden de las malas experiencias vividas, es mucho más sencillo el vivir en la autocomplacencia que evita el cambio que el cuestionar como se están haciendo las cosas. “Si se salió vivo de la última crisis será que se está haciendo bien”… estaremos viviendo en la eterna “Ñapa As A Service”.

 

Fernando Rodríguez López

Director de Tecnología & Sistemas España – Digitex

Te puede interesar: