Como todos sabemos hace unos meses el mundo esta bajo la “amenaza” del virus COVID-19, el cual se conoce como Corona Virus (una de las variantes), el mismo puso en prueba un monton sistemas y no me refiero solo a los informáticos, sino también los sistemas de salud, de emergencias, etc. por eso mismo estamos viviendo lo que podríamos describir como un momento critico donde dichos sistemas se ponen a prueba.
Hace aproximadamente una semana se declaro una cuarentena preventiva en Argentina, unos días después fue obligatoria, y en ese momento se tuvieron que tomar desiciones fundamentales para la continuidad de los sistemas. Particularmente en este post voy a hablar de los sistemas informáticos, de los cuales conozco hace más de dos décadas.
Un dato de color para este post, que es importante tener en cuenta, es que los seres humanos no somos buenos para tomar desiciones bajo presión o en momentos críticos, obviamente algunas personas tienen menos probabilidad de equivocarse que otros, esos deberían ser las personas que tendrían poder para decidir cosas, pero no siempre suele ser así.
Volviendo al tema central, voy a dar un ejemplo que tiene mucha relación con esto: todos sabemos que los backups sumamente necesarios para la continuidad de negocio, pero no todos ponemos manos a la obra sobre ese tema, pero una vez que tuvimos problemas con un servidor que tiene datos importantes para el negocio entendemos cual es la importancia de backup que posiblemente no hicimos. Lo bueno es que en este mal momento muchos aprenden y para la próxima ya van a estar preparados.
Ahora bien, sobre el momento actual y teniendo en cuenta lo antes comentado, podemos empezar a entender que es lo que paso con los enlaces y con los sistemas de acceso remoto en las empresas, no ? En la mayoría de las organizaciones los mismos no daban a basto y en momentos críticos se pueden tomar desiciones apresuradas e incorrectas para la seguridad de la información.
Que NO deberíamos hacer?
1) Tomar desiciones apresuradas.
2) Tomar desiciones sin la aprobación de todos los sectores involucrados en la continuidad del negocio.
3) Distender las políticas de seguridad de la información o de la seguridad física.
4) Dejar de cumplir los procesos para la puesta en producción de nuevos servicios, por ejemplo no hacer las revisiones de seguridad a un nuevo sistema de acceso remoto y que en caso de encontrar vulnerabilidades no sean corregidas en pro del apuro para que los empleados se conecten con rapidez.
Aunque el negocio requiera una solución extremadamente rápida debemos entender que tenemos MUCHAS opciones, por ende tenemos que ser cautos en la toma de las mismas porque una mala elección puede no solo dejar la puerta abierta a los cibercriminales sino poner en riesgo la continuidad del negocio. Entonces “debemos frenar la pelota” y tomar determinaciones claras, beneficiosas para la organización que nos permitan seguir operativos; para eso volvemos al tema del backup, lo mejor sería que si tenemos que transcurrir por un momento así, estar preparados de antemano para no tener que tomar estas resoluciones en momentos críticos.
Que podemos hacer? (con anterioridad)
0) Elaborar políticas de seguridad. Esencial no ? Pero no todos las hacen, y menos las aplican.
1) Armar planes de acción para situaciones criticas.
2) Ejecutar pruebas de escenarios, porque no solo es importante tener el plan, sino saber que el mismo funciona (o no les paso nunca ir a buscar un backup y que este dañado…).
3) Armar comités de crisis.
4) No operar siempre con lo justo, en este punto me quiero explayar un poco, porque si hacemos esto cuando necesitemos mayor cantidad de conexiones ( VPNs, Firewalls, Switches, IPSs, WAF, etc.) vamos a tener un problema de insuficiencia y también seguramente gastemos más plata ya que en los momentos de crisis todos se suelen aprovechar.
5) Armar los procesos, los ambientes y las herramientas para un trabajo remoto, tengamos en cuenta que hay un montón de cosas que son necesarias cuando no estamos en la oficina, algunos ejemplos son: herramientas colaborativas, sistemas de video conferencia, Soft Phone y una metodología clara.
6) No esperar a que pasen las cosas…
Y para finalizar les quiero comentar las consecuencias que podríamos tener, aunque algunas ya se las fui mencionado:
> Exposición de servicios vulnerables. Si es que no respetamos las revisiones de seguridad o los comentarios sobre los riesgos de publicar tal o cual servicio en internet ( ej. RDP o VNC, este ultimo sería casi un suicidio informático jaja ).
> Que información o datos internos dejen de existir solo internamente y empiece a estar en otros sitios donde ya no tengamos el control de la misma. Un ejemplo, que los empleados se conecten con sus propios dispositivos a la VPN (en este caso un buen plan sería ofrecer un entorno de VDI, claramente, con las restricciones de copiado local).
> Indisponibilidad de los sistemas, digamos una auto denegación de servicios por la gran cantidad de empleados que de repente necesitan conectarse desde afuera ya sea porque los servicios no aceptan la cantidad de conexiones o porque no tenemos los enlaces preparados. Y esto podría agravarse si los servicios que nosotros brindamos son primordiales en el momento de crisis, ya que no solo voy a tener más empleados conectándose desde afuera sino que también va a crecer las conexiones de los clientes.
> Y algo que no solemos tener en cuenta, y es sumamente importante, propaganda negativa en caso de que algunas de las situaciones se hagan conocidas.
Ahora bien, todo muy lindo, yo hablo básicamente de los aspecto técnicos, pero no hay que dejar de hacer un análisis de riesgo de cada una de las cosas que comente en todo este post ya que es claro que no es bueno para el negocio comprar equipamiento para soportar el cuádruple de conexiones dado que si un evento de las características antes mencionadas no sucede estaríamos “invirtiendo” mucha plata sin sentido, entonces acá deberíamos poner en la balanza de los riesgo otras posibilidades como equipos de trabajos mínimos o contratación de servicios on-demand para estos momento, etc.
Sin más termino este post, espero haber sido lo suficientemente claro con mi idea y que aunque sea en lo más mínimo les pueda ayudar o dar algunos conceptos muy básicos de la seguridad en momentos de crisis.
Como siempre, los comentarios están abiertos para sus consultas, no molestan!
Excelente post Sepa y muy acertado, ojala que por al menos estos momentos de crisis nos sirvan para reflexionar y tomar mejores decisiones hoy, para estar preparados para lo que viene o pueda venir.
Gracias Fer, por leer el post y comentar !
Todo momento de crisis genera oportunidades, las que podemos aprovechar o no, queda en nosotros 😉