El Blog de Josep Miró

Al listado, falta el típico admin, 4321, tiburon, nombre de la empresa, etc….

Visto en Gizmodo.

500 peores passwords

continuacion de: Agujeros de seguridad en la empresa, los mayores responsables los usuarios (o trabajadores)

4. Destrucción de Información.

Destruir, eliminar o borrar expresamente información, o accidentamente, ocurre cada día en las empresas.

¿a quien no le ha ocurrido que ha modificado un documento y luego no ha podido volver al original por que lo ha sobrescrito y la única copia era que la que existía en nuestro equipo.?

¿quien no ha eliminado o modificado un registro en una base de datos y se ha dado cuenta que no era ese el que quería modificar o eliminar y no hay vuelta atrás?

Aquí la única recomendación pasa por las copias de seguridad, o mejor dicho, por una buena política de copias de seguridad, amen de la correspondiente formación para los administradores (sean informáticos o no), para en caso de desastre saber recuperar esa información.

Hago incapie en esto último porque he visto “copias” por ahí, donde:

• no se copia todo lo que hay que copiar
• no se copian correctamente las bases de datos
• no se copian las bases de datos de usuarios con sus permisos
• no se copian los sistemas de correo electrónico
• no se copian los programas realizados a medida para la empresa con todas las adaptaciones realizadas in-situ, etc, etc…

y lo más grave, cuando pasa algo, por que se ha eliminado accidentalmente, un fallo en el hard, o cualquier incidencia, los administradores de las copias de seguridad no saben restaurar. No os echéis las manos a la cabeza, esto es así, no saben restaurar una base de datos, no saben restaurar un buzón de correo electrónico….etc.

A esto, los gerentes y administradores de las empresas deberían preguntarse:

• ¿estoy preparado para un desastre?
• ¿en cuantas horas podría estar como estaba ayer?
• ¿tengo un plan de contingencia?

luego vienen las lamentaciones….y las cosas pasan, desde un fallo en un disco duro que nos para la empresa, que nos entren a robar y se lleven los servidores, hasta desastres como el Windsor o las Torres Gemelas del WTC de N.Y.

¿Estamos preparados?

foto: http://www.sxc.hu/profile/CraigPJ

Continuación de:  Agujeros de seguridad en la empresa, los mayores responsables los usuarios (o trabajadores)

2-Robo de Información.

Si te quieren robar, te van a robar, te pongas como te pongas, pero al menos ponlo difícil, no dejes las llaves puestas…

Algunos consejos, pueden ser evidentes y más de uno pensará “y el listillo este”, pero os aseguro que las cosas pasan y no pasan más por que la gente es buena.

• Evita el acceso físico a los servidores, no lo dejes en un pasillo donde pasa todo el mundo, déjalo en un despacho a puerta cerrada o en un armario Rack para tal efecto y con llave.
• No apuntes post-it con las contraseñas.
• No dejes contraseñas por defecto en los routers (no querrais saber la cantidad de 1234 que hay por ahí…)
• Las cintas, cd y dvd de las copias de seguridad, llevatelas a tu casa o guárdalas bajo llave (en un armario ignífugo, claro).

Los portátiles, si te lo roban o lo pierdes, ¿que? aparte del disgusto por el equipo, ¿que pasaría con la información?¿tienes copia en la empresa de la información?¿y de los mails?, Si me encuentro tu portatil, aunque no sepa la contraseña de Windows, ¿crees que no tendré acceso a su información?

Los portatiles, hay que encriptar el disco duro, al menos si lo pierdes o te lo roban que no puedan ver lo que hay dentro…

3.Fuga de Información.

Tampoco seria la primera empresa donde un empleado se va, y se lleva información, ya sea esta para uso personal como para utilizarla en su nuevo empleo (probablemente la competencia).

Este punto es más critico, porque lo ideal seria “blindar” la empresa, es decir, que un empleado no pueda “llevarse” información, y es que hoy en día es muy fácil “llevarse” información, desde enviarla por correo a casa, enviarla por ftp a algún servidor, haciendo una copia en un cd/dvd/, con un pen (memoria usb), tarjeta de una cámara, un disco usb, la memoria del teléfono o incluso un Ipod o reproductor mp3…

La solución ideal pasa por dos tipos de medidas:  medidas de acceso telemático y medidas de acceso a hardware.

3.1 Telemáticas:

• Blindar el acceso al exterior, como el envió de correo electrónico a ciertas cuentas personales o tipo gratuito como Hotmail, etc.
• Blindar el acceso al exterior a servicios de alojamiento como megaupload, rapidshare, etc
• Prohibir el acceso al exterior a servicios tipo ftp, servicios remotos, etc.

El handicap, no tan técnico ya que esto con un servidor proxy se puede conseguir, es que hay que estar en permanente evolución y al día de nuevos servidores de alojamiento, nuevos servidores de correo electrónico, etc y es que cada día aparecen cientos de nuevos.

Otra opción es limitar el acceso a internet, pero esto creo iria en contra del beneficio propio de la empresa, ya que es habitual que un empleado requiera acceder a internet para buscar información de los mas variopinta.

La mejor opción sería encriptar toda la información que circula por la empresa, de modo que solo pueda ser “leida” por ordenadores que posean la llave de desecriptación, con esto tendriamos un control bastante real de la información y poca fuga, ya que si alguien se envia un documento a casa, deberia tener el mismo programa de desencriptación que en la oficina. La pega seria el envio de información a posibles clientes, colaboradores, etc pero es facilmente subsanable este punto.

3.2 Hardware:

El objetivo es impedir que un usuario, llega a su mesa y conecte en su equipo, ya sea de sobremesa o portatil, cualquier dispositivo que pueda tener en casa, bien sea una memoria usb, un disco duro externo, una camara de fotos, un Ipod…así como impedir que puedan utilizar la grabadora de cd/dvd’s.

Para ello existe software especifico en el mercado o una solución más económica si utilizamos windows, es aplicar distintas directivas y politicas de seguridad y desplegarlas en la empresa mediante “active directory”.

continuará …

foto: http://www.sxc.hu/profile/walker_M

Leo una nota en www.tecnologiapyme.com, donde a modo de resumen viene a concluir que el mayor agujero de seguridad de una empresa son los trabajadores y que los directivos son poco conscientes de la situación. Hace referencia dicho informe que las empresas se protegen mejor contra los ataques “externos” que contra los internos e involuntarios por parte del personal. En la reseña hacen referencia a un informe de IDC (www.idc.com), pero he sido incapaz de encontrarlo en menos de 5 minutos, por lo que voy a aportar mi granito de arena.

Bien, definamos “Seguridad IT” como aquellas barreras y métodos para evitar el acceso indebido a la información. A su vez, llamaremos “acceso indebido” a documentos, bases de datos, etc en las siguientes situaciones:

• Acceso a información.
• Robo de información.
• Fuga de información.
• Destrucción de información.

Los que nos dedicamos a esto de las tecnologías de la información desde hace años, y hemos visitado centenares de empresas de todos los tamaños y sectores, sabemos que la seguridad informática es una Utopia, y que no hay quien se salve de tener ciertos agujeros, sino todos, ya sean empresas con personal “teóricamente” cualificado como empresas con servicios subcontratados (que es peor, encima de p..a, paga la cama).

Partamos de un escenario base, es decir, un servidor o dos, conexión a internet mediante un router debidamente cerrado, es decir, nada de fuera tiene acceso a dentro ni tan solo puertos redireccionados, un sistema mínimo de autenticación en la red basado en windows (active directory) y un sistema de copias de seguridad, menos es un suicidio en seguridad…

1. Acceso a la información.

El ejemplo típico sería el de una vez conectado a la red, es decir llegar y conectar el portátil y obtener una dirección de la red, poder examinar la misma sin ningún “muro” que nos lo impida, viendo todos los documentos de todos los ordenadores, del servidor, etc.

Si esto lo puedo hacer yo que vengo de fuera, imaginemos un empleado que esta todo el día en la red y tiene acceso a contratos, ofertas, presupuestos, etc, o una persona descontenta y con ganas de fastidiar, lo mismo que lee un documento podría modificarlo o borrarlo. Vamos, lo que se conoce como entrar hasta la cocina.

Los típicos errores son:

• La mala, o inexistente,  configuración de la red a nivel de servidor, dando permisos a todas las carpetas o directorios a todos los usuarios.
• Contraseñas en los servidores “estandar” como Admin/Admin o Administrador/Administrador o lo peor Administrador sin contraseña.
• Contraseñas en los equipos (usuarios) estandar y evidentes o dejar los equipos con el Administrador y la contraseña en blanco.

Esto sería fácilmente subsanable creando lo que se llama “políticas de grupo” en Windows y aplicarlas correctamente.

Una buena política de contraseñas tanto a nivel de servidor como de equipos (aunque esto ultimo sea un coñazo). Delimitar el acceso a la información, la información de Gerencia no debería ser visible por el dept. técnico, por no hablar de toda la información sensible donde ademas incumpliriamos la LOPD.

continuará…

foto: http://www.sxc.hu/profile/saavem