empresa-de-exito

Seguridad Informática

Por Dennis H. Lewis
Tecnología

¿Te tirarías de un puente sin medir primero la cuerda?

¿Dejarías a tu hija de 16 años irse sola a pasar el fin de semana con el equipo masculino de fútbol de la universidad más próxima?

El instinto que nos mueve a proteger a lo que consideramos propio es uno de los rasgos más arraigado del comportamiento humano. Para ello, nuestra especie ha inventado puertas, cerraduras, policías y pólizas de seguro. Con este objetivo, nos matamos en guerras y por razones similares dejamos de hablar con los vecinos.

Defender a uno mismo, a la familia y a las cosas materiales en propiedad es un pilar fundamental del ser humano. Y dadas las circunstancias que nos rodean, la obsesión por la seguridad solamente puede seguir creciendo en nuestra sociedad.

Sin embargo, conozco decenas de empresas españolas que carecen de las más mínimas medidas de seguridad tecnológica. Por muy importantes que sean, sus activos informáticos están prácticamente a la merced de cualquier imprevisto.

Déjame compartir contigo algunas de las experiencias propias que he presenciado durante mis años de trabajo con la tecnología en este país.

No hace demasiado un antiguo cliente con quien no había tenido contacto por bastantes años me llamó totalmente aterrorizado. Su empresa, muy conocido y respetado en la comunidad valenciana, había sufrido un doble fallo de hardware. Debido seguramente a una sobrecarga de tensión, su servidor principal cayó con un disco averiado y con la fuente de alimentación inservible.

Pero eso realmente no era el problema. Su proveedor de mantenimiento había sustituido las piezas en menos de 24 horas y la máquina ya era supuestamente funcional.

La razón de la llamada de este cliente, se debía a que su responsable de informática llevaba dos días intentando recuperar el sistema y aún no había conseguido arrancar con normalidad. Más de mil clientes estaban siendo no atendidos y cuatro delegaciones estaban totalmente paradas.

Mi cliente veía peligrar la propia existencia de la compañía.

Afortunadamente, recibimos la llamada de socorro el viernes por la mañana y el lunes a las nueve la empresa estaba operativa. Aún así, costó dos semanas en recuperar la normalidad y los costes del incidente (sin apreciar el daño a la imagen de la empresa) fueron sustanciales.

En otra ocasión (menos mal que fue en otra empresa), vi tambalear toda una organización por culpa de un virus. A pesar de tener instalado programas de antivirus y de contar con un responsable de informática propia, una inadecuada gestión del programa y una falta notoria de disciplina por parte de los usuarios de la empresa, provocó la parada de al menos el ochenta por cien de los equipos de la compañía.

En el tiempo que tardaron en darse cuenta del problema, una cuestión de horas y no días, este mismo virus se propagó a una lista de más de quince mil clientes por toda España. Hubo que reinstalar desde cero casi todos los equipos y por más de una semana estuvieron prácticamente parados sin trabajar.

Sin embargo, lo peor fue tener que disculparse con sus clientes.

Hace unos cuantos años, un conocido mío empezó su propio negocio. El había estado trabajando como empleado en una empresa establecida de la zona cuya misión era prestar servicios logísticos para la importación y exportación de mercancías.

Un viernes por la tarde se despidió de su jefe. El lunes siguiente abrió las puertas de su propio oficina, llevando consigo sus compañeros más cualificados y el saber hacer de más de quince años. Además contaba con los datos de clientes, expedientes y trabajos en curso.

Su empresa ahora cuenta con seis delegaciones por toda la zona mediterránea y emplea más de cincuenta personas.

La empresa donde el trabajaba cerró hace tres años.

Finalmente, como seguramente conoces, en España hace doce años era bastante común que las empresas mantuviesen contabilidades ocultas donde manejaban “la caja B”. Desde el chiringuito más pequeño hasta empresas de ámbito nacional, casi todas movían dinero más o menos opaco al fisco.

Yo trabajé en varias empresas así.

En una de ellas me acuerdo perfectamente como se descubrió, a toro pasado por supuesto, que estos fondos también eran fácilmente manipulados por empleados de aparente confianza.

Dada que la empresa contaba con una envergadura significativa, el control sobre el dinero negro no podía llevarse a mano, y por consiguiente habían programas informáticos dedicados a ello. Llamadas con simpatía “herramientas de simulación”, se ejecutaban procesos diarios cuya misión era eliminar cualquier rastro oficial de parte de las ventas en efectivo de la jornada.
El responsable de lanzar este proceso se llamaba Jaime.

Joven, simpático y más listo que el hambre, Jaime con poco tiempo llegó a conocer el funcionamiento de este proceso. Además, como también era su responsabilidad preparar los ingresos para el banco y pagar las hojas de gastos de los empleados, Jaime vio su oportunidad y decidió repartir solidariamente algunos fondos con su mejor amigo – o sea consigo mismo.

Con una cuidada manipulación de los datos en el ordenador y procurando no desviar cantidades notorias de una sola vez, fue capaz de cobrar un sobre-sueldo importante durante bastantes meses.

Cuando alguien, por pura casualidad, se dio cuenta de lo que ocurría, el daño ya estaba hecho.

Jaime perdió su empleo pero la empresa nunca supo siquiera cuanto dinero había perdido.

Aunque esta historia, que resuena con un cierto aire a lo Robin Hood, pueda parecer ficticia, te aseguro que es totalmente cierto. Afortunadamente han desaparecido de las empresas “la caja B” (¿verdad?), pero los peligros de la manipulación ilícita de información siguen tan reales como entonces.

De hecho cada uno de estas historias son ejemplos de riesgos verdaderamente importantes para cualquier empresa. Si realmente queremos que se desarrolle y crezca, alcanzando objetivos, tenemos la obligación de velar por su salud.

Aunque todos entendemos el concepto de la seguridad, es probable que puestos a definirla cada uno diría una cosa diferente. Algunos pensarían en un buen trabajo fijo en una empresa sólida (yo no lo veo así pero eso no viene a cuento). Otros pensarían en los brazos protectores de una madre o en la caja fuerte de un banco.

Y todos tendrían algo de razón.

La seguridad, además de ser una circunstancia emocional (me siento seguro), se fundamenta en tres acciones concretas:

  1. Identificar los riesgos.
  2. Prevenir u obviar los riesgos.
  3. Estar preparado para enfrentar riesgos previstos e imprevistos.

Cuando un banco instala una caja fuerte están previniendo contra un riesgo identificado (el atraco). Cuando además instala una alarma conectado a la policía está preparándose ante un posible riesgo futuro. La formación a los empleados de cómo deben actuar ante una situación imprevisto es un ejemplo de preparación.

La fortaleza que supone la independencia económica que puede producir el tener tu propio negocio es, sin lugar a dudas mucho mayor que la debilidad de depender de los vaivenes de la política de recursos humanos de una multinacional. Sin embargo, la sensación de incertidumbre que provoca la decisión de aceptar conscientemente un riesgo empresarial, para una gran mayoría les impulsa a escoger con alegría el camino menos seguro.

Por eso, cuando uno decide tomar decisiones sobre la seguridad de su negocio y sobre la tecnología en particular el primer paso fundamental es el de separar la seguridad real de la seguridad emocional. No vale confundir el miedo, que es una emoción natural y prácticamente incontrolable, con la inseguridad. Son dos temas totalmente independientes los cuales requieren actitudes y iniciativas totalmente diferentes.

La primera y más importante de ellas, depende exclusivamente de tu equipo humano. Las actitudes (la palabra más importante del vocabulario) de todos frente a los riesgos que nos rodean es fundamental. Es imprescindible crear y mantener una política de gestión de la empresa que valora el cuidado de sus activos y la prevención ante las desgracias.

La seguridad en la empresa tiene que ser una práctica diaria. Si parte de tu seguridad radica del uso correcto de una contraseña de acceso, no vale propiciar una clima tan relajado que cualquiera compartiría su contraseña por teléfono con la mera explicación de “Soy Carlos el nuevo técnico del Departamento de Informática, ¿me puedes decir tu contraseña?”

De hecho, está comprobado que las principales armas de los más sofisticados “hackers” del mundo están basadas más en la “ingeniería social,” que en la tecnologica. Suele ser muchísimo más fácil engañar a un usuario para que te de acceso a un sistema que molestarse inventando complejas herramientas técnicas.

En cuanto a la seguridad tecnológica de las empresas, tenemos que tener en cuenta de que cualquier solución siempre será solamente parcial. Hemos de buscar un equilibrio entre la seguridad y la funcionalidad.

El sistema informático más seguro del mundo es el que esté apagado, enterrado bajo tierra con un guarda sentado encima del agujero. También debe ser de los menos útiles del mundo. Afortunadamente, entre este punto exagerado de seguridad y la total despreocupación que reina en muchas empresas, existen una multitud de puntos intermedios.

El deseo de evitar riesgos no puede llevarnos a no ser productivos. Las mejores organizaciones asumen sin rechistar riesgos importantes. De allí salen muchas oportunidades de negocio y a veces los mayores retornos a las inversiones.

Para estar preparados, es necesario conocer al enemigo. Por eso, vamos a empezar analizando los puntos más relevantes de la seguridad tecnológica. ¿Cuáles son los principales riesgos? ¿Cómo prevenirlos? ¿Qué medidas se puede tomar?

Aunque existen una enorme cantidad de riesgos que pueden afectar a nuestros sistemas de gestión de la información, básicamente todos pueden estar divididos entre tres grupos:

En primer lugar, sin duda saltará en mente el riesgo de que personas ajenas a tu confianza puedan conseguir acceso a tu información confidencial. Como pasaba en la película de “War Games”, un malvado hacker o simplemente un chaval listo y ocioso puede acceder a tus sistemas y leer tus datos.

Este es el más famoso de los riesgos y también seguramente el menos probable y menos grave de todos. Está claro que el diseño de tu nuevo producto o el resumen histórico de tus clientes es información valiosa y requiere una protección. Sin embargo, salvo casos muy contados, probablemente tu información confidencial tiene relativamente pocos pretendientes.

No es mi intención menospreciar el valor de tus datos, sino que creo que los demás riesgos, requieren una atención que frecuentemente no reciben.

El segundo tipo de riesgo engloba todo lo que puede ocurrir que causaría la pérdida de operatividad de tus sistemas. Tus datos, que son fundamentales, solo son una parte de tus sistemas de gestión. En conjunto, el gran valor que prestan a tu organización es la capacidad de mantener en marcha tu actividad empresarial. Sin ellos, la productividad caería en picado.

Desde los posibles fallos fortuitos de hardware hasta ataques intencionales, diseñados con el ánimo de parar tus sistemas, los riesgos de pérdida de disponibilidad de los sistemas son enormes. Si se estropea un disco de tu servidor principal, la copia de seguridad, debe garantizar la integridad de la información. Sin embargo, si tu proveedor de hardware tarda dos semanas en sustituir el disco, el hecho de no haber perdido datos será un triste consuelo.

El tercer tipo de riesgo es el más siniestro de todos. Si alguien se apodera de tus datos, puede provocarte daños, pero lo más peligroso de todos es que los manipule sin que te des cuenta.

La integridad de tus sistemas y de tus datos es primordial para garantizar la operativa correcta de tu empresa. Si alguien modificase los precios de tus productos, o las fechas de tus pagos o las instrucciones de trabajo de tu cadena de producción, los daños podían resultar mortales.

Los sistemas de información han llegado a alcanzar una importancia tan grande en nuestro trabajo, que nadie cuestiona su validez. Si el saldo es deudor, habrá que pagar. Si el ordenador indica que hay que repetir un proceso cuatro veces, ¿quien va a ponerlo en duda?

El primer paso a tomar es identificar lo importante y calibrar su valor. Si tienes en casa un cuadro auténtico de Picasso (ya tiene el record mundial de precio de subasta), seguramente dedicarías grandes esfuerzos a protegerlo. Sin embargo, si lo que tienes es una lámina reproducida comprada en un gran almacén, podrás ahorrar las cámaras de seguridad y los sensores de infrarrojos.

Para valorar tus bienes tecnológicos hay que contestar algunas preguntas sencillas.

¿Si perdiera estos datos, cuanto costaría recuperarlos?

¿Si dejará de funcionar un sistema, cuanto tiempo podría aguantar antes de que cundiese el caos?

¿Si alguien difundiese estos datos a todo el mundo, que pasaría?

¿Si alguien utilizase este sistema con malas intenciones, cuanto daño podría provocar?

No son preguntas amables. De hecho, son propios de un vendedor de seguros, pero son esenciales para tomar decisiones razonables. No debes invertir grandes sumas para proteger elementos poco significantes. Sin embargo, si la supervivencia de tu empresa depende de la integridad de unos cuantos datos, una inversión importante puede ser justificada.

Las primeras medidas de seguridad tienen que estar relacionadas con la seguridad física. ¿Donde están ubicados tus datos corporativos? ¿Están las maquinas fácilmente accesibles por todo el mundo? Ante un incendio o una inundación, ¿estás preparado? Muchas desgracias han pasado por no pensar en cosas tan obvias.

Del mismo modo, la seguridad física atañe al funcionamiento físico de las máquinas. Aunque hoy en día los discos y procesadores modernos son básicamente fiables, cualquier máquina puede fallar. Seguramente, si se rompe un ordenador utilizado como puesto de trabajo, los daños serán moderados. Pero si falla tu servidor corporativo, toda la empresa se verá afectada.

Ante este tipo de situaciones también es importante considerar el concepto de “redundancia.” Cuando sales a la carretera para realizar un largo viaje, no aceptarías un vehículo sin rueda de recambio. Del mismo modo cuando te sentabas a realizar un examen importante en el colegio siempre tenías a mano más de un lápiz.

Lo mismo ocurre con la tecnología. Conforme crece la criticidad de un servidor, más importante resulta considerar la incorporación de elementos “redundantes”. Desde fuentes de alimentación a adaptadores de red y hasta tarjetas de memoria, podemos instalar en nuestros principales servidores componentes duplicados. Así, si sufrimos una avería en alguna de estas piezas, la máquina sigue funcionando. Además en muchos casos, estas piezas pueden ser sustituidos sin siquiera tener que apagar el ordenador. Esta capacidad se llama “hot swap”, o cambiable en caliente.

Pero ninguna medida de redundancia puede sustituir un buen sistema de backup.

Si vale la pena proteger tu información frente a ataques intencionados, ¿que menos que protegerlos ante errores, fallos y cualquier otro imprevisto? Jamás he oído una excusa que justificase con credibilidad la falta de tener una copia de seguridad de tus datos.

Es la tarea más sagrada de cualquier responsable de informática y de todas la menos vistosa. En la vida hay obligaciones que hemos de cumplir aunque solo se apreciarán si las cosas van mal. Todavía más cierto es que si las cosas van mal y no hemos hecho las copias correctas, las cosas irán muchísimo peor.

Un sistema correcto de copias de seguridad requiere más que meter la cinta todas las noches. Primero, piensa donde tienes guardada información importante. Los datos corporativos en el servidor principal son fundamentales, pero también lo son las cartas guardadas en tu PC y los correos electrónicos guardados en tu servidor de correo. Si tu contable lleva la previsión de pagos en una hoja de cálculo en su ordenador, ¿qué pasaría si le atacase un virus?

Fruto de los enormes avances en conectividad que nos ha propiciado las nuevas tecnologías relacionados con la red, nuestro mundo está plagado de nuevos y peligrosos riesgos tecnológicos. Cada semana podemos ver en los periódicos artículos informando sobre los últimos virus que están causando estragos por todo el planeta. Es el signo de nuestros tiempos.

Cada ordenador de tu empresa debe estar protegido por un programa antivirus. Como mínimo este programa debe actualizar sus definiciones semanalmente, y siempre que sepas de que exista un riesgo inminente. Pero eso no es suficiente.

Además, tu servidor de correo (sea propia o de un proveedor externo) debe filtrar cada mensaje de correo electrónico que entra y sale de tu empresa. Automáticamente debe poner en cuarentena archivos anexos peligrosos (ejecutables, archivos del sistema…) y nunca debe permitir enviar mensajes desde direcciones ajenas a la tuya. El programa antivirus también debe mantener registros de todas las incidencias que ocurren.

Una vez cubiertas las medidas básicas de la seguridad tecnológica llega el momento de protegerse frente a las agresiones externas.

En la edad media, los reyes construían murallas alrededor de sus castillos y cavaron fosas llenos de voraces cocodrilos. Solo pasando por el puente levadizo podías acceder al interior de la fortaleza.

Esto es el principio de la seguridad del perímetro. Como el portero de una discoteca de moda, o un puesto fronterizo de aduanas, se trata de rodear nuestras instalaciones con una barrera que evite la entrada de peligros.

En la jerga de los técnicos, estamos hablando de un cortafuegos (firewall). Para los mortales, es un sistema informático dedicado a la tarea de controlar el tráfico de datos entre nuestra red interna (segura) y el peligroso mundo exterior. Cada paquete de datos que entra o sale de nuestra red pasará por sus manos y será comprobado su providencia y su valía.

Dependiendo de la complejidad de los servicios que prestas mediante la red, este aparato puede ser más o menos complicado. Si tienes un servidor web propio, un servidor de correo electrónico propio y pretendes permitir que usuarios conocidos (empleados, clientes, proveedores…) accedan a tus sistemas, este aparato requerirá una instalación concienzuda y completa.

Por otro lado, si básicamente utilizas la red para navegar y para recibir correos, con un aparato sencillo (de Cisco, Symantec…) bastará. Lo importante, para ser razonablemente seguro es que este aparato no puede hacer nada más. Es una pieza clave de tu seguridad y debe estar dedicado a estas tareas.

Es también importante entender que buscamos una seguridad efectiva y no emotiva. No basta con poner un firewall en tu vida y vivir feliz. Si tienes ordenadores con modems u otras conexiones externas no controlados nuestro cortafuegos no será más que un placebo para apaciguar tu conciencia.


Hoy en día ninguna empresa con más de diez personas que utilicen la red debe estar conectado sin tener un cortafuegos en medio.

Una vez asegurado el perímetro de nuestra red tenemos que considerar algunas buenas prácticas imprescindibles para dormir tranquilos.

Se trata de implantar una política integral de seguridad en tu empresa. Una casa no es segura porque la puerta está cerrada con llave. Si las ventanas están de par en par, o si dejamos la llave en la cerradura, no habremos hecho nada. Lo mismo ocurre con la seguridad de tus sistemas de información.

Tu primera tarea es comunicar la importancia del asunto a tu empresa. Todo el mundo debe entender el valor de la información y sistemas que la controla. Se debe explicar los peligros de los virus y la manera de contener su efectividad (no abriendo correos sospechosos y no ejecutando anexos sin estar cien por cien seguro de su providencia).

El siguiente punto a tener en cuenta es la utilización de contraseñas. Casi todos los sistemas actuales basan sus medidas de seguridad en la utilización correcta de contraseñas. Sabiendo la contraseña adecuado puede en muchos casos ser como tener la llave maestra para todas las casas de una urbanización.

Si tuvieras en casa una caja fuerte, no dirías la combinación a nadie. Tampoco dejarías encima de una mesa en un sobre marcado con la matricula de tu coche, las llaves del mismo.

Sin embargo, ¿cuántas personas usan su nombre de pila como contraseña para acceder al ordenador? ¿Cuántas veces es el cumpleaños de un hijo o el aniversario de bodas? ¿Y pegados al monitor del mismo ordenador en un papelito amarillo?

Finalmente una política de seguridad requiere gestión. Todos los sistemas modernos crean registros (logs) de las operaciones realizadas. Estos archivos llenos de datos sobre conexiones, transacciones y intentos fallidos deja un rastro auditable para un buen técnico de sistemas. Pero alguien tiene que revisar e interpretar los datos, o no sirven de nada.

Del mismo modo, ¿para que sirve pagar el mantenimiento de tus aplicaciones y sistemas operativos, si luego nadie se encarga de asegurar que están aplicados en todas las máquinas? Si nadie revisa periódicamente los registros del antivirus, ¿cómo puedes saber que está funcionando? ¿Cómo sabes que las copias de seguridad son completas?

No son tareas divertidos ni producen ventas. Sin embargo, son imprescindibles para prevenir los riesgos reales que nos rodean. Una póliza de seguros caducado no paga siniestros y igualmente un sistema de seguridad olvidada y relegada a “la semana que viene lo haré”, puede costar más que te imaginas.

Si estás dispuesto a pagar por tener una alarma en tu negocio, o pagas sin rechistar el seguro de incendios, ¿por qué no aceptar los costes necesarios para proteger tu tecnología?

El mundo está lleno de fabulosas innovaciones para mejorar la seguridad. Desde tarjetas inteligentes para guardar firmas digitales, hasta lectores de huellas y comprobadores de rasgos faciales, podemos rizar el rizo hasta la infinidad. Pero si la contraseña de Pepe es “PEPE”, o la copia de seguridad no incluye el fichero de clientes, yo no estaría tranquilo.

Por llegar hasta aquí, mereces una medalla al “lector perseverante.” La seguridad es un tema aburrido, pesado y complejo.

Hace tiempo pensaba que el anonimato de la pequeña y mediana empresa era casi suficiente como barrera de protección. ¿Quién iba a querer atacar a una empresa de veinte usuarios en la provincia de Alicante?

Tristemente nuestro mundo no es así.

He visto con mis propios ojos como una empresa Alicantina de veinticinco usuarios fue atacada horas después de instalar un servidor web.

Nombra un responsable de confianza y síguele de cerca.

Luego, cruza los dedos y pon una velita…

Compartir...
  • Facebook
  • Twitter
  • Live
  • LinkedIn
  • Google Bookmarks
  • Digg
  • del.icio.us
  • NewsVine
  • Reddit
  • StumbleUpon
  • Yahoo! Buzz
  • Technorati
  • MySpace

Escribe tu Opinión...