Colombia floja en seguridad informática… ¿la razón?

¡Ahora tu computador también puede ser libre!
Bienvenidos a Fedora Colombia

Fedora Colombia es parte Integral de Proyecto Fedora

Colombia floja en seguridad informática… ¿la razón?Filed Under: Columnistas

Hace ya algunas semanas salió publicado en El Tiempo.com (Uno de los diarios más importantes del país) un artículo que sostiene que nuestro país obtuvo la calificación más baja en el índice de seguridad Cisco. Tan sólo 62 puntos de 100 posibles y latino américa obtuvo un promedio de 64 puntos, es decir, no sólo fue la calificación más baja sino que además estuvimos por debajo del promedio de nuestra región.

Aunque el resultado de estas encuestas dejan ver el creciente y por cierto descuidado problema de la seguridad informática en nuestro país, lo bueno no es decir “estamos fallando” sino evaluar porqué estamos fallando y obviamente corregirlo. Por esta razón me atrevo a dar las siguientes razones o patologías empresariales:

1). Dependencia de productos Microsoft. (Winditis Crónica)

Nuestras empresas no son ajenas a que una de cada diez PCs en el mundo usan Windows. En áreas de producción es difícil ver algo que no sea Windows, y de hecho es complicado exigir a sus empleados saber otra cosa.

Pero también hay muchísimos servicios críticos que van sobre el S.O de Redmond. Los departamentos de tecnología implementan soluciones Microsoft porque ofrece toda una solución global todo en uno, correo (Exchange Server), Servidor (ISS), Base de datos (SQL Server) y todo en “plena armonía” conservando la compatibilidad con todos sus PC y por supuesto con las omnipresentes hojas de cálculo de Excel.

Pero jamás se han preguntado si hay soluciones que pueden dar mejores resultados y con menores costos.

Pagar ¿es sinónimo de calidad?

Hablaba hace unas semanas con un gerente de una empresa de comunicaciones, y le comentaba que hay grandes soluciones de software libre. Respondió de forma aceptable pero aclaró que el problema grande es la capacitación -al menos en las áreas de tecnología- pues para el empleado común cosas como revisar su correo (así sea Exchange o Postfix) será lo mismo.

No hay gente lo suficientemente capacitada, y los que están actualmente, tienen tanto por hacer que no se debe perder tiempo en capacitarse. Cayendo en otro gran problema… deteniéndose en el tiempo y perdiéndose de nuevas soluciones.

Además no queremos depender de una persona para mantener nuestros sistemas

Al referirse a que sólo unas cuantas personas conocen y manejan soluciones de software libre, pero ignora que no quiere estar dependiendo de su propio personal humano sino de toda una plataforma tecnológica que ni ellos mismos conocen.

¿No tendríamos un indice de seguridad más altos si nuestros equipos usaran Linux? Si bien es cierto que el sistema operativo del pinguino también necesita ajustes para “blindarlo”, tal y como sale de la “caja” es mucho más seguro y nos quitaría de encima la mayoría de los problemas propios de usar Windows.

¿No es más apropiado tener servicios distribuidos en varias plataformas? Llegamos tarde como siempre, los países Europeos están huyendo de la dependencia tecnológica en pro de garantizar la disponibilidad de sus servicios bajo cualquier circunstancia pero en nuestro país pareciera que fuéramos en sentido contrario.

2). Mantenimientos y actualizaciones en ceros (Parchitis Nulo)

Otro inmenso gran defecto, es que nuestro departamentos de tecnología casi nunca se preocupan de mantener y actualizar regularmente los equipos. Un PC es formateado e instalado con su respectiva versión de Windows (así sea la versión original sin SP1, por cosas de licencias), se instalan los programas de productividad y “si te vi, ¡no me acuerdo!”.

Muy pocas veces se actualizan los equipos, en el caso de Windows muchas veces se desconoce qué es un Service Pack, y si sabe, no se le da importancia necesaria. ¿Qué es un parche sino una corrección de una falla o una vulnerabilidad? ¿Acaso Microsoft las publica de Navidad? Sentido común muchachos.

Además no sólo cuentan las actualizaciones propias del S.O. sino la de las demás programas. Por sólo mencionar un ejemplo, cuente cuántos Microsoft Office 2003 tienen el SP3 instalado. ¿SP3 en Office? ¡Si administradores! Office también tiene “service packs”, y siendo una de las aplicaciones más usadas y críticas debería dársele la importancia que merece.

¿Y las actualizaciones automáticas? Siempre funcionan hasta que llega una en que el usuario debe aceptar una licencia como el famoso programa de autenticación de Windows que, entre otras cosas, requieren privilegios de administrador, que no tienen los empleados por supuesto. Hasta ahí llegan y no son pocas las actualizaciones que uno debe aceptar explícitamente.

Y si es así a la hora de entregar el PC al usuario, sólo pregunte cada cuánto pasa alguien revisando que esté funcionando apropiadamente. Casi nunca se le da mantenimiento a los equipos y únicamente regresan al departamento de tecnología cuando han “sacado la mano”, allí son reparados, formateados y vuelve el círculo vicioso.

3). Falta de una “cultura segura” (conciencitis leve)

Muchas administradores tendrán políticas de seguridad y acceso muy bien definidas; son necesarias para darle protección a la información sensible y son muy recomendables a la hora de preservar el buen uso de la infraestructura tecnológica.

Sin embargo, más que políticas, el éxito de la estrategia está en la conciencia sensata de cada uno de los empleados. Por ejemplo, ¿cuánto no invierte una empresa en mantener un administrador de contenido como WebSense para bloquear páginas como Facebook? ¿No sería mejor generar una conciencia de uso racional en vez de atropellar y bloquear cuanto contenido “censurado” para la empresa exista? Lo sé. Es muy complicado de lograr y mucho menos en empresas grandes… es por eso que hablamos de “cultura”. El buen hábito de hacer las cosas por iniciativa propia y no por restricción.

Hoy en día, los equipos son tan restringidos, que se vuelven casi inoperantes y ni hablar cuando requiere acceso de forma urgente por un mensaje a un correo personal o en el mismo Facebook.

Se habla de cultura, porque ¿de qué sirve forzar el cambio de contraseña cada X días si el empleado la anota en el mismo cuaderno -de acceso no tan personal- para no olvidar las varias contraseñas que debe manejar en su trabajo. El éxito de una contraseña -aunque no me crean- es que no se sepa.

De qué sirve proteger la información con X accesos si al final el empleado realiza una copia en su memoria USB y posiblemente la descuide por un tiempo o lo que es aún peor la extravíe. Es por eso que no existe un sistema 100% seguro (y no va a existir) precisamente porque el mayor riesgo es el mismo usuario… “cultura”.

Finalmente, el problema de la seguridad informática es supremamente grande y requiere además de tiempo un trabajo conjunto de los administradores y los usuarios para llegar a esa cultura que si bien no nos dé un 100% de seguridad, al menos en estudios como los de Cisco obtengamos una calificación más alta.

El artículo publicado por El Tiempo.com puede leerse aquí.
http://www.eltiempo.com/tecnologia/actualidad_a/home/colombia-debil-en-seguridad-informatica_4393234-1