A mediados de 2008, San Francisco, California, fue víctima del secuestro de la red de datos del gobierno de la ciudad (para mayor referencia consultar la página en http://www.securityfocus.com/brief/776). A grandes rasgos, el incidente sucedió luego de que uno de los administradores, llamado Terry Childs, dejara sin acceso administrativo al resto del equipo de la dependencia, quedando efectivamente secuestrado el 60% del tráfico de los sistemas de datos de la ciudad. Finalmente el personaje fue arrestado y le fueron fincados cargos por sus acciones, no hay reportes de que el ofensor haya robado o destruido datos, pero no hay duda de que estaba en posición de hacerlo.
El caso es una viva ilustración de lo que sucede si no hay una buena gestión de los sistemas informáticos a nivel gerencia. Mi colega Anton Aylward (http://infosecblog.antonaylward.com/) describe el problema como: “debido a que los gerentes no quieren saber los detalles técnicos ni estar involucrados en ellos, dejan que el personal técnico como Terry Childs tenga el libre reino (sobre los sistemas) y se olvidan de implantar controles básicos”. Estoy completamente de acuerdo con él, hicieron falta controles para segregación de funciones, controles dobles, “auditabilidad” del uso de accesos privilegiados y un amplio etcétera.
“Confía pero verifica”
Muy probablemente esos controles pudieron ser implementados mediante una herramienta tecnológica, sin embargo me parece importante enfatizar que la omisión tiene mucho más que ver con la visión y el actuar de la gerencia que con la tecnología, sostengo que no hay herramienta que funcione sin la gestión de una persona que la haga útil.
Resulta difícil desconfiar de las personas que trabajan a tu lado, vamos, son parte del equipo; pero nuestro papel es observar las medidas necesarias para manejar un riesgo, y nos guste o no, existe el riesgo de que alguno de los integrantes de ese equipo nos pueda causar un daño como el que ejemplifica la situación de la ciudad de San Francisco. Hay una frase que se atribuye a Ronald Reagan, ex presidente de los Estados Unidos, “Trust but verify” (confía pero verifica), y creo que resume muy bien la actitud que considero es la correcta para manejar esta situación.
Ampliar el círculo
En muchas ocasiones, el trabajo del profesional de la seguridad informática consiste en influenciar a las esferas de mandos medios y altos para que puedan visualizar y dimensionar riesgos como este. Así pues, desde aquí los invito a buscar las formas más efectivas para comunicarnos con esas esferas que necesitan tener visión –y probablemente consejo- sobre estos temas que sabemos pueden ser un punto de inflexión en la historia de las organizaciones para las cuales trabajamos.
Deja tu comentario