Estas aquiContenido / Inseguridad sin remordimiento
Inseguridad sin remordimiento
Soy el responsable de seguridad de una empresa de desarrollo de software. Supuestamente el IT Manager, es decir, si las copias de seguridad fallan, yo soy el culpable. Si entran en nuestros ordenadores, o si copian todo el contenido de nuestro CVS, yo soy también el culpable. Pero si creéis que soy yo quien puede decidir sobre las medidas a tomar para que estas cosas no ocurran, estáis muy equivocados. En esta empresa, como en la mayoría de las empresas aquí en España, quien manda es, cómo no, el JEFE.
Y no es que me parezca mal. Oye, la empresa es suya. Lo que me parece mal es que luego vengan a mi cubo a llorar. Y es que siempre hay presupuesto para que cambien de móvil 5 o 6 veces al año, pero nunca para un robot de cintas para las copias de seguridad.
La empresa para la que trabajo no se dedica a hacer páginas webs, ni un software demasiado tradicional. Creédme cuando os digo que puede haber empresas muy muy grandes interesadas en saber qué es lo que hacemos, cuáles son nuestros últimos algoritmos de optimización, y a qué clientes estamos tanteando, pero -como dice mi jefe- ¿quién se va a poner a mirar lo que hacemos?...
No sé si os acordareis de aquél caso de espionaje de la empresa CellCom. Quizás aquí mi jefe tuviera la respuesta a por qué quiero cerrar el puerto 21 hacia afuera. Fuimos afectados por ese espionaje debido a que uno de nuestros comerciales fue a dicha empresa como visita de cortesía y se trajo de vuelta un portátil perfectamente infectado. En es momento yo pensé, bien, ahora seguro que toman consciencia del problema, pero... ¿sabéis qué?... Va a ser que no.
Una vez dije de instalar Jabber y quitar el Messenger. En esta empresa el Messenger es el sistema de comunicación oficial con todos los que están fuera. Por el Messenger vuelan claves de acceso al cvs, a la vpn, o al scp donde tenemos las últimas release. Pero cuando oyeron que iba a quitar el Messenger todo eran quejas. Claro que eso me hizo pensar que probablemente también usaban Messenger para hablar con los colegas sobre dónde sería el proximo botellón, o a qué hora iban a quedar con sus novias. Y es que señores, no es información igualmente sensible, la hora y lugar donde iremos de botellón, y la clave de acceso a la última release... pero... ¿quién se va a poner a snifar tráfico.
Tengo un antivirus puesto en el servidor de correo. Y varias herramientas de detección de intrusos en el firewall. Pero aquí todo el mundo puede coger su portátil, llevárselo a casa e instalar cualquier tipo de software de poco fiar que acaban de bajarse calentito del emule. Y no sé si para la versión próxima lo tenga, pero en la versión actual del Karpersky el antivirus no testea los portátiles que mis queridos usuarios traen en sus mochilas y pasan por la puerta.
Eso sí, cuando en la red hay un virus, todo el mundo me mira como si el virus lo hubiera creado yo. La seguridad por tanto es un problema de concienciación. Sólo los que hemos tenido la oportunidad de trabajar en empresas en las que tenían un equipo completo de 18 personas dedicadas al espionaje industrial, entendía que estas cosas pasan, y que no sólo ocurre en las películas. Os quedaríáis alucinados de ver los informes que este departamento traía cada mes sobre nuestra competencia. Parecía que dormian con el CTO y el CEO, todos juntos. Pero no pasa nada, en España nunca pasa nada, siempre seguiremos igual. Reponsables de sistemas que parecen estar puestos ahí para poder echarle la culpa a alguien, pero atados de pies y manos sin poder poner en práctica lo que la experiencia y el aprendizaje les ha dado a conocer. Eso sí, un día -porque sé que es cuestión de tiempo- entrarán en esta empresa, copiarán el software, o modificarán nuestros algoritmos para que no optimicen más que lo hacen los de la competencia.
Entonces tendrán suerte, porque ahí estaré yo, la persona justa para poner en la puta calle porque no tenía ni puta idea.
- Estoy absolutamente seguro de que la seguridad absoluta no existe -
Deberías de solicitar la visita de un inspector de trabajo, recabar toda ls informacion por escrito de lo que estás contando, con pruebas, y despues ir a hacer una declaracion ante notario con esto que cuentas aquí, y te la guardas, y le das una copia a tu jefe si quieres.
Así el día quue ocurra la desgracia, tienes algo.
Otra opcion es entrar en "guerra abierta". Yo hice eso y no me fue mal.
Limitate a hacer lo que creas que tengas que hacer como IT. Y si te dicen que no, pues tu dices que si, y que te lleven a juicio. Los clientes de tu empresa se enterarán de que sois un queso de gruyere. Ah!, y con la nueva ley, si alguien entra en tu máquina, la culpa es vuestra.
Animo y suerte.
Era conocedor que en otros paises, como EEUU, el IT-Manager no sólo es responsable de posibles problemas de seguridad, sino que además es responsable por ejemplo, el uso de software pirata dentro de la empresa. Pero aqui.. en España, que ley me hace responsable de que se coman parte de este queso?
- Estoy absolutamente seguro de que la seguridad absoluta no existe -
- Estoy absolutamente seguro de que la seguridad absoluta no existe -
(Ley Orgánica de Protección de Datos de carácter personal).
En ella se hace responsable de la integridad y confidencialidad de los datos al propietario del fichero (entendido como conjunto de datos con un destino concreto aunque físicamente estén en más de un fichero informático. P. ej: NÓMINA -Los datos necesarios para poder confeccionar la nómina; CLIENTES -Los datos del tipo que sean de los clientes), o sea, la empresa.
Saludos.
A mi me pasa igual..
Al final teminé poniendo por escrito las diferentes opciones de seguridad y su coste. Presente el informe al Jefe para que el eligiera el Coste/riesgo que queria asumir.
El dia que algo pase me pondrán en la calle igual, pero por lo menos podré replicar con algo :(
-Pelias.
-Pelias.
Lo suyo es todas las cosas que veas mal, haz un informe con riesgos, con posibles soluciones y no te cortes aunq te parezcan un poco.... fascistas, el que se juega la paga eres tú.
Ademas por cada informe que se guarde en el cajón, tu tienes una prueba documental de él y como dicen por arriba, si puedes da acta notarial de cada acción.
Tu deber como encargado del area es avisar y solucionar, si ellos no quieren solucionar tu pon todo de tu parte para que las culpas caigan sobre otro(en el caso de que un portatil entre que sea culpa del del portatil) registro de conexiones, registro de macs, todo, si ocurre que se tiran un peo, tu debes de tener un log con ello. y si no puedes tu debieras de haber avisado que oleria mal, almenos.
Como tambien dicen por arriba no sirve de mucho porque si ocurre te tirarán o te tomaran en cuenta, pero si te tiran, tienes un documento que acredita que te están tirando porque les da la gana, porque tu explicaste los riesgos.
A manera de "colaboracion" dejo estos links que tratan sobre la legislacion en Argentina sobre el tratamiendo de información de manera digital. Obviamente no es todo pero para que tengan una idea sirve. Aqui encontraran algunos "argumentos" para que los IT tomen cartas en el asunto ante sus superiores de manera legal o bien para cubrirse las espaldas.
Ahora que el cumplimiento de estas leyes... ya es harina de otro costal.
PDP - Proteccion de datos personales
http://www.protecciondedatos.com.ar/
Ley 25.326 - PROTECCION DE LOS DATOS PERSONALES
http://www.aaba.org.ar/ln25326.htm
Informatica jurídica
http://www.informatica-juridica.com/legislacion/argentina.asp
LEGISLACIÓN SOBRE DELITOS INFORMATICOS ARGENTINA
http://delitosinformaticos.com/legislacion/argentina.shtml
Espero que le sirva a alguien.
Saludos.-
Aprendere todo lo que pueda hasta el fin de mis dias con esta vida, y luego me reprogramaré para mi próximo loop.
Pues ciertamente, es una situación delicada, pero como se menciona arriba, cuando encuentres a algún culpable, tu trabajo es SEÑALARLO, emite oficios, memos, avisos, evidencia al que tenga prácticas "inseguras" jejeje, corta el acceso del msnmsgr.exe a internet desde el firewall o router-gateway; vamos, está dentro de tus funciones.
Mini Plan de 2 Pasos -MP2P- : hay que contar con el apoyo del jefe; (sí, igualmente te han de despedir, pero, que se les dificulte encontrar un pretexto!!)
1 Organiza un cursillo de Jabber, con ello eliminarás la oposición por desconocimiento del programa. Que sea de una hora por dos o tres días en una semana. De tal manera que obtengan alguna Constancia de Actualización (el nombre lo elíges tú, y que sea estruendoso, dominguero, rimbombante).
2 Ahora que TODOS conocen el manejo del nuevo programa, pues, ha llegado la hora: Señala y denosta al o los negligentes. Los métodos pueden ser variados; el más efectivo es hacer responsable al jefe de cada subdepartamento, y emitir un comunicado en el que se diga que tal o cual departamento continúa con las prácticas comprometedoras. Creeme es mucho peor que, seas tú quien, le tenga que dar un jalón de orejas al 99% de los compañeros.
En fín, como responsable de la seguridad tienes la obligación de señalar cualquier fallo y proporcionar alguna solución señalando los pros y contras de los métodos expuestos, de tal forma que en última instancia la responsabilidad de la elección del método recaiga en, claro, EL JEFE.
"Te lavarás las manos como pilatos, pero aún así, (in)seguramente saldrás crucificado"
"No sé, quizá sólo es que: hace mucho que no duermo...
no sé, quizá sólo es que: hace mucho que no sueño"
"No sé... quizá! sólo es que: hace mucho que no duermo...
no sé... quizá! sólo es que: hace mucho que no sueño...
Uhhmm... quizá, sólo sea hora de una copa más."
Hara ya una decada de eso o casi, recuerdo que me vinieron a buscar justo acabar la universidad, no por mis notas excelentes sino porque no encontraban nada decente. La red estaba en un dominio controlado por un Windows NT y un par de backups de dominio. El servidor principal era el que tenia conexion a la red, una RDSI por aquel entonces, para 4 correos y 4 webs no hacia falta mas. La empresa tenia un parque de unos 100 ordenadores y cuatro servidores HP-UX de enormes armarios bastante huecos (siempre me hizo gracia esto).
Bueno, este servidor primario de dominio, tenia una cuarentena de "carpetas" compartidas la mayoria con contraseña (no validaba por usuario, sino por contraseña) y este servidor tenia toda la informacion de la empresa que excel, word, access descargaba de la base de datos y guardaban como copia dentro de si. Aparte de la informacion generada por los usuarios en su quehacer diario (informes, etc..)
Pues este mismo servidor con toda esta ingente informacion era el que daba acceso a internet directamente a traves de una ethernet a la red (una sola mascara para toda la red) y a internet con su tarjeta RDSI interna. Sin mas proteccion que las contraseñas antes mencionadas. de las cuales supongo muchos conocereis que tenian un bug que adivinando la 1 letra o numero, vamos el 1 caracter dela contraseña se podia pasar.
Pues tuve que provocar un ataque desde mi propia casa para que luego de 3 meses avisando del tema se me dejase poner un linux como firewall delante del servidor.... y mis jefes eran ingenieros informaticos con años de experiencia.
Que mas se puede decir?
De verdad que no sabes cuanto me siento identificado contigo.
Por desgracia como dices esto pasa y pasará por mucho tiempo aqui en Espana.
Hasta hace poco estuve trabajando en una Consejeria (Administracion Publica), si te contara la serie de despropositos, negligencias, corrupcion que vi no te lo creerias. Era increible ver como advertía una y otra vez sobre peligros de perdida de informacion, sobre inseguridades, sobre no cumplimiento de Leyes,...que fue lo que gané?...que mi Director General en su más supina ignorancia me considerase un tipo incomodo no deseable, al final contrató a un coleguita suyo (el cual no tenía ni idea ni de redes, ni seguridad, ni lo más básico...) y despues de muchas zancadillas consiguió que me fuera y tras otra mala experiencia en la empresa privada (no tenían ni software legal!!!) ahora estoy en el paro...
Mereció la pena? pues tengo mis dudas...el caso es que ahora me planteo sino es más practico unirse a esa gran masa de incompetentes-corruptos y seguirles el juego (eso si cubriendote las espaldas para no ir a la carcel), porque a mi modesto entender en este "pais de amigos" en el que vivimos apenas hay empresas que se tomen en serio la informática y la seguridad.
Asi que mi consejo es que te cubras bien las espaldas y te despreocupes porque esto no tiene solución, no somos Europa somos una Republica Bananera (con todo el respeto para las Republicas Bananeras).
Salu2.
Basicamente la seguridad es como las enfermedades venereas, hasta que no te pillan no les haces caso. Para asegurarte no estaria de más, recoger en una libreta las incidencias y las mejoras propuestas para su resolución. El planteamiento de llevar un registro acostumbra a poner en alerta a la superioridad. Normalmente piensan en que solo se apunta lo que "ellos" hacen mal. Para empresas-accionistas puede ser una solución, para empresas-dueño una novena santa Rita no esta de más.
Salud kriptos.