Doce mitos de seguridad de TI “desmitificados”

Escrito por admin el 17/3/13 • En la Categoría Seguridad (*), Computer World

Son mitos frecuentemente repetidos, y nociones ampliamente aceptadas, sobre seguridad en TI que?
simplemente no son verdad. Les hemos preguntado a los profesionales de seguridad que compartan con
nosotros sus “mitos favoritos de seguridad”. Aquí están doce de ellos.

Mito #1: “El antivirus lo protege contra el malware en forma eficiente”

Raimund Genes, CTO de Trend Micro, señala que los negocios usan antivirus (A/V) porque de otra forma
“sus auditores lo matarían si no utilizaran uno”. Pero los A/V no pueden protegerlo con confiabilidad contra
ataques dirigidos porque antes de su despliegue, el atacante se ha asegurado de que no será detectado por el
software A/V.

Mito #2: “Los gobiernos crean los ciberataques más poderosos”

John Pescatore, director de tendencias de seguridad emergentes en SANS, señala que la mayoría de los
ataques de gobiernos simplemente reutilizan recursos de ataque de propiedad de delincuentes. Y al
Departamento de Defensa de EE.UU. le gusta exagerar las amenazas de otras naciones para incrementar su
presupuesto. La triste verdad es que los ataques de denegación de servicio contra los sitios web de bancos
como Citibank pueden ser detenidos, pero no ha habido el suficiente esfuerzo para hacerlo. Y que los
gobiernos estén detrás de otros gobiernos por razones de espionaje no es nada nuevo entre China, EE.UU.,
Francia, Rusia y otros, por décadas.

Pescatore también tiene otros dos mitos favoritos relativos a la seguridad en la nube que, puestos juntos, son
contradictorios en sí mismos: los “servicios en la nube nunca van a ser seguros” porque son servicios
compartidos que pueden cambiar cuando lo deseen, y el segundo mito es “la nube es más segura porque es lo
que los proveedores hacen para ganarse la vida”. Sobre esos dos mitos contradictorios, Pescatore señala:
“Muchos de los proveedores como Google, Amazon, etc., no construyen sus nubes para proporcionar
servicios de clase empresarial o proteger la información de los demás. De hecho, Google construyó una nube
muy potente expresamente para a reunir y exponer la información de otras personas a través de sus servicios
de búsqueda”.

Pero Pescatore también señala que los servicios de nube basados en e-mail provenientes de Google y
Microsoft, por ejemplo, hasta el momento han demostrado que cuando los datos de los clientes fueron
expuestos, muy rara vez fue culpa del proveedor, y en su mayoría se puede atribuir la culpa a los ataques de
phishing en clientes. Pero el cliente empresarial sigue lidiando con cómo cambiar adecuadamente sus
procesos para que coincidan con los de los proveedores de servicios de nube en términos de respuesta a
incidentes.

Mito #3: “Todas las cuentas están en Active Directory y bajo control”
Tatu Ylönen, inventor de SSH y CEO de SSH Communications Security, señala que este concepto erróneo es
común, pero que la mayoría de las organizaciones han creado -y en gran medida olvidado- cuentas
funcionales utilizadas por las aplicaciones y procesos automatizados, a menudo administrados por claves de
cifrado y nunca auditadas. “Muchas grandes organizaciones tienen más claves configuradas para acceder a sus
servidores de producción que cuentas de usuario en Active Directory”, señala Ylonen. “Y estas claves no se
cambian, nunca se auditan y no se controlan. Toda la identidad y el ámbito administrado de acceso
generalmente administra las cuentas de usuarios interactivos, y consistentemente ignora el acceso
automatizado por máquinas”. Pero estas claves destinadas para acceso automatizado se pueden utilizar para
ataques y propagación de virus, si no se gestionan adecuadamente.
Mito #4: “Las técnicas de gestión de riesgos son necesarias para la seguridad de TI”
Richard Stiennon, analista en jefe de IT-Harvest, señala que aunque la gestión de riesgos “se ha convertido en
la técnica aceptada de gestión,” en realidad “se centra en una tarea imposible: identificar los activos de TI y
catalogar su valor”. No importa cómo se intente, “no reflejará el valor que los atacantes ponen en la propiedad
intelectual”. Stiennon sostiene que “la única práctica que realmente mejorará la capacidad de una empresa
para hacer frente a los ataques dirigidos, es la gestión del riesgo que implica la comprensión profunda de los
adversarios y sus objetivos y metodologías”.

Mito #5: “Existen „mejores prácticas‟ para la seguridad de la aplicación”

Jeremiah Grossman, CTO de WhiteHat Security, señala que los profesionales de seguridad comúnmente
abogan por “mejores prácticas” debido a que son “universalmente eficaces” y dignas de la inversión, ya que
son “esenciales para todos”. Estas incluyen la capacitación de software, pruebas de seguridad, modelado de
amenazas, firewalls de aplicaciones web, y unas “cien actividades más”. Pero él piensa que esto normalmente
pasa por alto la singularidad de cada entorno operativo.

Mito #6: “Los ataques de día cero son un factor de vida y son imposibles de predecir o de responder
efectivamente”
Los ataques de día cero son aquellos dirigidos a vulnerabilidades de la red que aún no son conocidos en forma
general. Pero H.D. Moore, CSO en Rapid7 y creador de la herramienta de prueba de penetración Metasploit,
piensa lo contrario, que “los profesionales de seguridad realmente pueden hacer un buen trabajo en predecir y
evitar el software problemático.

“Si la organización depende de un software sin el cual es “imposible” trabajar, debe haber un plan en marcha
para saber qué hacer en caso de que el software se convierta en un riesgo de seguridad.

La habilitación selectiva y la limitación de los privilegios que el software recibe son buenas estrategias.
“También dice que otro mito favorito de seguridad es que “puede decir lo seguro que es un producto o
servicio basándose en el número de vulnerabilidades divulgadas públicamente”.

Él señala que un buen ejemplo de ello es la noción de que “WordPress es terrible, mire cuántas
vulnerabilidades se han encontrado hasta ahora!” Pero agrega que “la historia profunda de los defectos del
software puede ser el resultado natural de una pieza de software cada vez más popular”. Moore concluye:
“Por el contrario, hay decenas de productos sin defectos publicados, que son a menudo mucho menos seguros
que una aplicación más conocida y más ampliamente auditada. En resumen, el número de fallas de seguridad
publicados para una pieza de software es una medida terrible para ver lo segura que es la última versión de un
software”.

Mito #7: “Cumplo con los requisitos, por lo tanto estoy seguro”
Bob Russo, gerente general de PCI Security Standards Council, señala que es una noción común que las
empresas piensen que una vez que obtienen la conformidad con las normas de seguridad de datos para tarjetas
de pago, están “seguros de una vez y para siempre”. Pero el control para el cumplimiento solo representa una
“instantánea en el tiempo”, mientras que la seguridad es un proceso continuo en relación con las personas, la
tecnología y los procesos.

Mito #8: “La seguridad es problema del director de la seguridad de la información”

Phil Dunkelberger, presidente y CEO del emprendimiento Nok Nok Labs, señala que el CISO recibirá la
culpa de una violación de datos, principalmente porque su trabajo los mantiene estableciendo una política o
un curso técnico. Pero muchos otros en la organización, especialmente la gente de operaciones de TI, también
“poseen seguridad” y tienen que asumir una mayor responsabilidad por ello.
Mito #9: “Está más seguro en su dispositivo móvil que en la computadora”
El Dr. Hugh Thompson, Presidnete del Comité de Programa de Conferencia RSA, afirma que si bien esta
“asunción frecuente” tiene algún mérito, subestima cómo algunas garantías tradicionales para computadoras,
tales como contraseñas enmascaradas y la URL de vista previa, no se aplican a los dispositivos móviles de
hoy. “Así, mientras que los dispositivos móviles todavía ofrecen más garantías de seguridad que las
computadoras portátiles o de escritorio, varias prácticas de seguridad tradicionales que se rompen pueden
dejarlo vulnerable”.

Mito # 10: “Puede estar 100% seguro, pero tiene que renunciar a las libertades personales”
Stuart McClure, CEO y presidente del emprendimiento Cylance, señala que no compre el argumento de que
para luchar contra los chicos malos en línea, hay que “enviar todo nuestro tráfico al gobierno para hacerlo”.
Es mejor conocer a los chicos malos muy bien, “predecir sus movimientos, sus herramientas”, y “meterse en
su piel”.

Mito Mito # 11: “Estar al día con la seguridad es todo lo que necesita para detener el malware”
Martin Roesch, fundador de Sourcefire e inventor del sistema Snort de detección de intrusiones, señala que la
seguridad defensiva muy a menudo se limita a la captura o la no captura de cualquier tipo de ataque, y que si
se pierde, la defensa “prácticamente deja de ser un factor en el despliegue de actividades de seguimiento de un
atacante”. Un nuevo modelo de seguridad funciona de forma continua para actualizar la información incluso
si el ataque inicial de la red se pierde, con el fin de comprender el alcance del ataque y contenerlo.

Mito # 12: “Con la protección adecuada, los atacantes pueden quedar fuera”
Scott Charney, vicepresidente corporativo de Microsoft Trustworthy Computing, señala: “A menudo
asociamos el mantenimiento de la seguridad con mantener a la gente fuera; poner seguro a sus puertas,
firewalls en nuestras computadoras. Pero la realidad es que aún con estrategias de seguridad sofisticadas y con
operaciones excelentes, un atacante persistente y con determinación, encontrará eventualmente una manera de
forzar la entrada Hay que reconocer que en realidad deberíamos pensar de forma diferente respecto a la
seguridad”. Para la comunidad entera de seguridad, eso significa “proteger, contener y recuperar” para
combatir las amenazas de hoy y en el futuro. Ellen Messmer, Network World (EE.UU.) – CIOPeru.pe

(*) http://www.cwv.com.ve/?p=14613