Esta fue la pregunta que una persona realizó en redes sociales, sobre las reglas que debemos de aplicar en una red para tenerla segura, rápidamente comenzó a crearse una lista que en menos de 15 minutos ya había 20 puntos.
Entre los puntos que más sobre salían están los de bloquear correos personales como Gmail o Hotmail, también redes sociales y contar con sistemas de monitoreo o registro de actividades.
Luego de leer muchos comentarios que cada uno era para poner nuevas restricciones, hice mi comentario, donde la experiencia nos ha enseñado que no existe una receta de cocina de lo que hay que bloquear para crear una red segura, toda empresa tiene sus características y necesidades diferentes, así que no podemos solo llegar a un lugar y decir vamos a bloquear accesos a redes sociales.
En eso una persona me contestó que el acceso a Facebook debe de estar bloqueado porque la gente llega a una oficina a trabajar, no a estar en redes sociales y esto me recordó este primer caso de ejemplo.
CASO 1: Dueña de la empresa considera que la gente pierde el tiempo en Facebook.
En la empresa C, una empresa de turismo, nos llega una solicitud de la gerente general, que había que bloquear todo el acceso a Facebook, porque la dueña considera que la gente está perdiendo el tiempo laboral en esa red social, que solo había que dejárselo a la dueña y al departamento de mercadeo, mi respuesta en ese momento es que sería bueno primero hacer un análisis de la funcionabilidad antes de bloquear, la respuesta fue, “No, se bloquea de forma inmediata”, así que al final como dice el dicho, donde manda capitán no manda marinero, se hizo el bloqueo de forma inmediata tal y como lo solicitó la dueña por medio de la gerente.
No habían pasado ni medio día cuando se comenzaron a recibir los reportes que no podían ingresar a Facebook y todos los usuarios molestos con el departamento de IT, nuestra labor fue solamente informar que, por orden de la dueña, el acceso estaba bloqueado, así que las quejas comenzaron a llegar a la gerente.
Resulta que el departamento de ventas necesitaba el acceso a Facebook porque ahí tenían una fuente rápida de poder buscar descripciones de proveedores, algunos proveedores no tenían página web y otros tenían, pero no le daban mantenimiento, en cambio en Facebook si tenían la información actualizada.
Luego el departamento de operaciones, igualmente utilizaban a Facebook para poder contactar guías, la mayoría de ellos esa es la forma más rápida de poderlos contactar de quien está disponible.
Así que al final se tuvo que volver a liberar el acceso a Facebook, queda como lección, no dar por sentado que una red social siempre es para perder el tiempo, también pueden ser herramientas de trabajo.
Otra lección, dejó al descubierto que había un faltante de Manuales Operativos junto con la descripción de puestos, donde se mencionara bien los procedimientos y herramientas que necesita cada puesto, de haber estado al día, no se habría pasado por el mal momento de incomodar al usuario al quitarles una herramienta de trabajo.
CASO 2: Las contraseñas seguras y política de cambio estricta.
En la empresa I, yo estaba dando mis primeros pasos en la informática, todos sabemos lo que es eso, uno se considera que ya todo lo sabe, somos el rey del mundo y bueno, entre los primeros cambios que realizo, fue el implementar una estricta política de cambio de contraseñas, tenían que cambiar cada mes y cumplir con la complejidad de mínimo 8 caracteres, números, consonantes y carácter especial, se habían quitado las vocales para así volverlas más complejas, el asunto es que como siempre, los usuarios reclamaron, algo típico de cuando hay un cambio de políticas que generan una incomodidad, pero yo bien convencido que teníamos que mejorar la seguridad, siempre dije que así tenía que ser y así se hizo. El resultado, los usuarios comenzaron a cambiar contraseñas, poner unas bien complejas, lo que ocasionó que muchos optaran por escribirla en un papelito que tenían pegado en el monitor, otros que se confiaban más de la memoria, eran los típicos que el lunes llegaban a pedir un reinicio de la contraseña porque se les había olvidado el fin de semana. Moraleja, una política estricta de contraseñas, no siempre da como resultado un ambiente seguro y ahí viene el precepto de la contraseña prefecta, esta debe de ser fácil de recordar, pero difícil de adivinar, en la actualidad mis preferidas son las passphrase.
CASO 3: Los sistemas de monitoreo y reportería.
En la empresa G, dando una consultoría informática, con gran entusiasmo nos dijeron que hace poco habían contratado un nuevo servicio para tener un monitoreo y reportes desde el Firewall. Un servicio bastante bueno, a nosotros nos gusta mucho y lo hemos implementado en varias empresas, sin embargo, el punto acá es que en el departamento de IT tenían trabajando solo 2 personas, para atender a un poco más de 200 usuarios, obvio, no tenían tiempo para nada, principalmente no tenían tiempo para poder revisar y analizar los logs del sistema de monitoreo. Tener un sistema de monitoreo, solo por tenerlo y cumplir un requisito, sin darle el debido seguimiento y mantenimiento, es casi lo mismo a no tener nada y pongo casi, porque en este caso estaban gastando dinero y peor aún si vamos un poco más a fondo y el tener un sistema solo contratado, puede generar un sentido de falsa seguridad y esto puede ser peor.
Conclusión
- No existe una receta de cocina, la cual solo debemos de seguir al pie de la letra para así tener un resultado.
- En seguridad hay muchos factores a analizar antes de tomar las mejores medidas y aplicar las mejores prácticas.
- Recordemos que la tecnología debe de facilitar el trabajo el usuario, no complicarlo.
Muy importante, no pensemos como una persona que hizo un comentario diciendo que había que aplicar todas las reglas estrictas para luego no perder nuestros trabajos y acá hago un énfasis, nosotros no perdemos nuestros trabajos por haber sido víctimas de un ataque cibernético, es más ninguna empresa o persona está exenta a sufrir uno sin importar la cantidad de millones que inviertan en ciberseguridad, nosotros podemos perder nuestros trabajos por no estar preparados para un evento de estos y ocasionar caos, las empresas que están debidamente preparadas, cuando sufren un ataque se recuperan de rápidamente y con la menor cantidad de consecuencias.
A esto también le puedo agregar, un informático puede perder su trabajo aunque lo haga bien, si este está generando un ambiente tenso en la empresa por poner políticas excesivas que entorpezcan el trabajo del día a día y por consecuencia se de una baja productividad de toda la empresa.
Las empresas no quiebran por ser víctimas de un ataque, las empresas quiebran porque no estaban preparadas para un ataque.