91 - Prohibir no es el camino (en casa de herrero) - 22/11/2008


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Si Ud. utiliza un teléfono celular sin tomar las medidas básicas de seguridad y alguien ingresa al mismo, la solución es apagar y enterrar el teléfono. Si Ud. es administrador de una red y la misma es infectada por un gusano, la solución es desenchufar todos los cables y prohibir el uso de la red.

Eso es al menos lo que parece pensar el gobierno norteamericano luego de los sucesos de esta semana: Obama se quedará sin BlackBerry por seguridad nacional [1] y el Departmento de Defensa (DoD) se quedará sin utilizar dispositivos móviles (USB, disquettes, CDs, etc) luego de que un gusano ingresara a su red a través de uno de estos dispositivos [2].

La correcta administración de recursos y servicios no deberían ser un secreto para nadie y mucho menos para el país más avanzado del mundo. Se supone que gestionar la seguridad en estos dispositivos es parte del proceso normal de cualquier organización que los utiliza.

Los comentarios sobre posibles vulnerabilidades en los BlackBerry, de la empresa canadiente RIM, existen desde hace tiempo [3] pero no se han podido probar y, por supuesto, los problemas de administración de los dispositivos móviles son reales y tangibles desde siempre.

Ahora ¿justifica esto la prohibición del uso de tecnología? o, por el contrario ¿demuestra la necesidad de gestionar la seguridad?

La respuesta no es sencilla y requerirá un análisis profundo de cada caso, ya sea que se trate de la seguridad nacional de un país, una gran empresa, una PYME o un equipo personal.

En el primer caso, donde la seguridad nacional de un país está en juego, la necesidad de mantener la privacidad de la información es crítica. Que secretos de un país se encuentren almacenados (aunque cifrados) en servidores externos (como los de RIM) es un riesgo, por lo que los analistas pueden concluir que la prohibición del dispositivo es una solución viable. Eso sin considerar los posibles problemas inherentes a la tecnología propietaria y de depender de una organización externa para realizar comunicaciones con prioridad [4]. El siguiente paso es analizar otro medio de comunicación alternativo y considerado seguro para esta situación.

En el caso de una organización, en donde no se encuentra en riesgo la seguridad nacional, esta decisión podría ser exagerada y generar rechazo entre los usuarios a quienes afecte esta implementación. Una situación parecida acontenció en Francia en 2007 [3].

Un documento sobre la gestión de riesgos en dispositivos BlackBerry puede ser consultada en nuestra sección de Terceros [5].

En el segundo caso, donde los riesgos y las soluciones de los USB son ampliamente conocidos, el bloqueo de los dispositivos es exagerada, pero esta situación también debe verse con los ojos de la organización que la implementó, el DoD de EE.UU. La pregunta a formularse es ¿por qué esperar a que ocurra algo para que se analice la situación y se tome la decisión, sea cual sea la misma?

Esto hace pensar que el DoD es una organización como cualquier otra ("en casa de herrero..."), que la prevención y el pensamiento proactivo son ilusiones que quedan en la cabeza de los analistas de riesgos.

La situación es preocupante y acarrea la limitación de libertades, simplemente para evitar el trabajo que requiere la toma de decisiones responsables y analizadas fríamente.

Prohibir por el simple hecho de no comprender la tecnología no es el camino... pensar, analizar, justificar y gestionar la seguridad sí lo es.

[1] Obama se queda sin blackberry por motivos de seguridad nacional
http://blog.segu-info.com.ar/2008/11/obama-se-queda-sin-blackberry-por.html
http://blog.segu-info.com.ar/2008/11/espan-un-telfono-celular-de-obama.html

[2] El ejército norteamericano prohíbe el uso de Pendrives
http://blog.segu-info.com.ar/2008/11/el-ejrcito-norteamericano-prohbe-el-uso.html

[3] Riesgos en BlackBerry
http://blog.segu-info.com.ar/2007/06/mi-blackberry-es-un-espa-pero-no-me.html
http://blog.segu-info.com.ar/2007/06/nadie-puede-interceptar-un-mensaje.html

[4] Apagón de BlackBerry
http://blog.segu-info.com.ar/2007/04/apagn-de-blackberry.html

[5] Gestión de Riesgos en BlackBerry
http://www.segu-info.com.ar/terceros/?titulo=blackberry

Buenos Aires, 22 de noviembre de 2008

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto