Este Tweet de Olivia Nuzzi de The Daily Beast, publicado después del ataque a Sony debió ser enmarcado y colgado como arte motivacional en cada oficina del mundo. Un año y medio después, seguimos viendo numerosos hackeos de correo electrónico publicados, que nos recuerda 2 certezas que la gente no quiere entender: el correo electrónico es para siempre y para siempre es un periodo de tiempo impensable para mantener algo realmente seguro.
Con un incremento en los ataques informáticos a entidades estadounidenses como la Convención Nacional Democrática (DNC) y el Departamento de Estado, lo que es particularmente frustrante, más allá de los mismos ataques informáticos, son las inevitables conclusiones casi imperceptibles en el mundo conectado de hoy, es que las personas continúan enviando correos electrónicos inapropiados. ¿Por qué parece que nadie está aprendiendo de estos errores?
Registro permanente
Hay una razón por la cual las reuniones de máxima seguridad se llevan a cabo de manera personal. El correo electrónico es un medio de comunicación relativamente permanente y a diferencia de los viejos tiempos cuando se tenían cartas de negocios cables oficiales del gobierno, hoy el correo electrónico puede y, está tomando vida propia. Algunas cosas son mejor no decirlas o en algunos casos, no enviado por correo electrónico. Traducción: Cualquier persona puede leerlos; y cualquier persona que lo haga puede reenviarlos a cualquier parte del mundo. Y los que tienen el tiempo, conocimientos técnicos, y la motivación para causar estragos, lo hará. ¿Por qué hacer que sea más fácil para ellos?
Por supuesto, se podría argumentar que los últimos hackeos fortalecen el uso de la encriptación o cifrado como un medio para protegerse contra los crecientes niveles en sofisticación técnica de las bandas de ciber criminales. Los correos que más dañaron la reputación de la Convención Nacional Democrática en EEUU fueron aquellos que tal vez nunca debieron escribirse o bien, aquellos correos electrónicos que se dejaron sin protección y sin medir las consecuencias de su publicación. Eso tuvo que ver no con tecnologías de encriptación sino con un juicio pobre. Y lo peor de todo, es que este tipo de escándalos hace que nadie más crea en que sus correos electrónicos sean protegidos al 100% con técnicas de encriptación.
Es hora de encontrar soluciones alternativas. Sin duda, no hay como levantar el teléfono o reunirse en persona, sobre todo si se busca evitar enviar información sensible (o potencialmente incriminante) a través del correo electrónico. Pero como eso no puede pasar todo el tiempo, ¿qué tal sería encontrar a los chicos malos antes de que se vayan con tu ropa sucia y la ventilen públicamente?
El sentido común no es tan común
El gobierno de Estados Unidos ha sido duramente criticado por la falta de medidas de seguridad informática, así como ir a un paso muy lento en la actualización de sus sistemas operativos con lo más nuevo en materia de software. Esto responde a una serie de retos importantes: carencia de personal de ciberseguridad, ataques altamente sofisticados a entidades estratégicas del país, complejidad en la red y obsolescencia, incremento en la necesidad de encriptación, incertidumbre legislativa, por si fuera poco, la ingenuidad de sus empleados.
Soluciones convencionales de seguridad para correo electrónico podrán defender contra spam y malware, pero no protegen contra ignorancia y mal juicio. El equipo de seguridad TI de Convención Nacional Democrática falló miserablemente al proteger información sensible, pero la gente que envió correos electrónicos inapropiados también fallaron.
Mientras hablamos, se desarrollan tecnologías para combatir el phishing y otros tipos de métodos de intrusión informática, sin embargo, lo más difícil de controlar en un ambiente de red es el elemento humano. Vivimos en un mundo donde la gente todo lo quiere rápido, fácil y conveniente. Todo el mundo ama los atajos… la pérdida no intencional de sensibilidad ante la información de los miembros de una organización es vergonzoso, ya que este tipo de irresponsabilidad, puede comprometer la seguridad nacional de cualquier nación y en casos graves, sus procesos electorales. Pero no tiene que ser de este modo.
Dado que el personal no siempre comprende la importancia de lo que comparte, es prudente para las organizaciones el invertir en educación sobre ciberseguridad, pero, además, ser más agresivos al monitorear las redes y su uso. Los hackers que atacaron la Convención Nacional Democrática estuvieron dentro de la red, mucho tiempo antes de ser descubiertos (posiblemente más de un año).
En algún punto, la gente tiene que tomar responsabilidad por las violaciones a la seguridad informática en sus organizaciones. Los ataques no sólo se tratan de haber hecho clic en una liga maliciosa. Se trata sobre comportamiento humano, en todos los niveles, desde el manejo del correo electrónico institucional y personal, hasta políticas de seguridad informática y procedimientos específicos.
Incremento en disuasivos
Cualquier oficial de policía en el mundo te dirá que un perro es el mejor disuasivo para los criminales. No importa si hablamos de un perro pequeño o grande, son elementos disuasivos, porque tienen una característica: son impredecibles. Un perro llena esos vacíos de seguridad entre las bardas, las cerraduras y las alarmas. Si un ladrón quiere robar algo, buscará ambientes controlados y predecibles, sin un perro alrededor.
Los sistemas de seguridad, así como las infraestructuras de red que protegen están construidas por acreción. Un producto encima de otro, con la esperanza de que cada uno haga su trabajo lo mejor posible todos apilados, proveyendo seguridad. ¿Pero qué pasa cuando un agente malicioso que conoce las herramientas, sabe esconderse en esos espacios donde no hay perro?
Mientras más visibilidad de red tenga una organización, las probabilidades de descubrir comportamientos anómalos y posiblemente peligrosos, será mucho más alta y por supuesto, superar los retos de seguridad alrededor de situaciones como el correo electrónico (para siempre y nunca privado) y el factor humano. En un ambiente de TI, una plataforma de seguridad (SDP) es el perro guardián que ladra y muerde. Provee visibilidad integral sobre el tráfico de red, usuarios y aplicaciones que permiten que cualquier solución de seguridad, llámese firewall, IDS, IPS, etc. se enfoque en lo que mejor hace. En palabras simples, será ese perro que estará alerta en todo momento y cuidará su casa.