En este mes por diversas razones he estado involucrado en proyectos o cuestiones relacionadas con la seguridad informática que existe en la UNIVA, ya sea por mi empleo o por mis estudios. Varios alumnos como parte de sus actividades de aprendizaje de las asignaturas que llevan, realizaron una auditoría a nuestra dirección, yo trabajé lo relacionado a la seguridad. Los resultados fueron, en mi caso, muy interesantes, pues que por revelar algo desconocido el hecho de poder observar desde otro ángulo algunas actividades que hacemos. Por otro lado, hemos estado trabajando con la gente de Red UNIVA (conjunto de Campus de UNIVA que existen en varias ciudades además de GDL) para probar unos productos y preparar la comunicación segura entre nuestros planteles.

No voy a exponer los resultados exactos de la auditoría porque no es mi finalidad el evidenciar cuales son nuestras fallas ni el criticar el porqué es que se dan. En todo caso el objetivo de este escrito es exponer algunos pensamientos que han pasado por mi mente con la finalidad de que sirvan de reflexión a quienes estamos involucrados en la seguridad informática. Sin embargo si mencionaré que hemos detectado que hace falta mucho por hacer y, por si fuera poco, ya sabíamos que se tiene que hacer.

¿Cómo que hace falta? Bueno, creo que lo mismo que a muchísimas empresas: distribución correcta de parches, mecanismos de autenticación eficientes y, sobre todo, conciencia de que hay problemas.

Me explico, como en muchas otras empresas, nosotros tenemos la mayoría de nuestros equipos con alguna versión de Windows. Obviamente existirá más de uno que dirá que ese es el problema (como de alguna manera lo deja ver Mónica Mistretta en un artículo para Information Week), que si usáramos Linux, UNIX, Mac OS, o el sistema operativo que se les ocurra (siempre y cuando no sea de Microsoft) nuestros problemas serían mucho menores. Yo no creo que sea el caso. Tan no es el caso que incluso uno que otro linuxero expone que el problema es otro. En UNIVA Guadalajara tenemos aproximadamente la mitad de los servidores con alguna versión de Windows Server (la enorme mayoría con Windows Server 2003) y los equipos de los miembros de la Jefatura de Redes y Proyectos con Windows XP Pro SP2. Ya tiene años que no hemos tenido una intrusión, una infección de virus o algún problema relacionado con seguridad (en los servidores o en los equipos de nuestra jefatura, aclaro). No digo con esto que estamos exentos a que nos pase algo, simplemente digo que pese a tener Windows no hemos tenido problemas. ¿La clave para no tener problemas? Cuidar nuestros equipos y estar conscientes de que tenemos que hacerlo. Obviamente hay muchas cosas que tenemos que hacer para realmente estar preparados para cualquier problema, pero al menos seguimos tratando de estar al pendiente de los equipos y la información que se nos encomendó.

Hablando en cuestiones técnicas, de entrada tenemos Windows Server 2003 en dos equipos y estos son controladores de dominio. Esto nos ayuda bastante por el simple hecho de tenerlo y de que nuestros equipos pertenezcan al servicio de Active Directory además de prepararnos el camino para implementar otros mecanismos como lo es Software Update Services. Con SUS hacemos que la distribución de parches críticos de Windows sea más rápido y fácil. Adicionalmente también tenemos otros productos como ePolicy Orchestrator de McAfee así como VirusScan Entreprise 8.0i. Con estos productos (apoyados en Active Directory) mantenemos los equipos sin virus.

Sin embargo, aún así tenemos detalles que corregir en la universidad. ¿Por qué? Porque hace falta implementar muchas cuestiones técnicas. Si sabemos que se tiene que hacer ¿por qué no se han hecho? Porque no es simplemente de llegar, poner y ya. Es de preparar la implementación, implementar y darle seguimiento a lo implementado y para ello el usuario tiene que estar consciente de lo que estamos haciendo y para que. ¿Es necesario tener entonces Windows Server 2003, SUS y los productos de McAfee? No. Lo podemos hacer con menos, o con más. El problema no es, repito, que Windows sea inseguro o que nosotros implementemos o no ciertos mecanismos de seguridad. El problema es estar consciente de que pueden existir problemas de seguridad, cuales serían y que podemos hacer algo para evitarlo.

Adicionalmente, todo esto no sirve de nada si no le decimos al usuario que tiene que hacer y porqué. La mayoría de las veces todo se resuelve si en lugar de darle clic en el botón de Si el usuario diera clic en el botón de No cuando le aparece una ventana que le dice que va a descargar un componente ActiveX que resulta que es un dialer, un spyware o un virus. Si en lugar de que comparta una carpeta de su PC con permisos de sólo lectura y a una lista de usuarios en específico lo hace a todo mundo y con todos los permisos existentes. Si en lugar de visitar sitios Web de confianza uno entra a cuanta liga le llega por correo electrónico sin antes verificar si el mensaje es emitido por una persona o por un programa diseñado para enviar basura a quien pueda. Si en lugar de ignorar y eliminar el spam uno entra a ver que encuentra en los sitios que llegan con ofertas increíbles y que ni tienen caso. Tal como lo expone y remarca el linuxero que les comento.

La seguridad de los equipos de cómputo no es responsabilidad nada más del personal técnico de una empresa sino de cada uno de los empleados y usuarios de los equipos. A final de cuentas lo que tienen almacenado en dichos equipos es información que requieren para realizar sus funciones (o eso uno espera que tengan). Por supuesto, nosotros como área de apoyo tenemos la responsabilidad de hacerles notar esto y de facilitarles los mecanismos para mantenerse seguros, pero no todo es o debería de ser responsabilidad de estas áreas. Recordemos que el personal entra por el área de Recursos Humanos y así como solicita personal que cubra cierto perfil y tenga ciertas habilidades, se le debería de examinar para ver si sabe usar un equipo de cómputo y proteger su información, no solamente abrir Word y Excel y enviar un texto por correo electrónico. De igual manera las instituciones educativas deben de mencionar como proteger la información y no solamente a los alumnos de las carreras relacionadas con la computación. Claro, no sería realista de mi parte pedir que una secretaria o un contador sepa que es un firewall, para que sirve y como configurarlo, pero si creo que es correcto que sepa que cuando comparte una carpeta esta se podrá ver en la red de cómputo de la empresa y que no solamente él podrá acceder a esta si no lo especifica de forma explícita; que sepa que existe el spam y que no se puede evitar y que sepa como lidiar con el; que sepa que no todo lo que se descarga de Internet es bueno o seguro; cosas así.

¡Vaya! Creo que hay mucho que hacer. Y ahora, ¿quién podrá defendernos?