jueves, 27 de noviembre de 2008

Políticas de Inseguridad

Hay muchos y variados criterios para asegurar el buen funcionamiento de los equipos informáticos y su seguridad. Ya se sabe, cambios de password cada cierto tiempo con unas longitudes mínimas, alternando mayúsculas, minúsculas y números y no repitiendo las N últimas.

Dentro de estos criterios podríamos incluir el uso sensato de los equipos y herramientas, como no hacer caso de esos correos en los te dicen que te ha tocado un coche o te dejan la viagra baratita. O esos otros que te manda un tipo al que no conoces con ficheros adjuntos muy sospechosos -ejecutables-. Y qué decir del phishing, con suplantación y robo de claves -y lo que no son claves-.

Además, nadie en su sano juicio tiene un ordenador, conectado a Internet o no, sin antivirus. Hoy en día ese programa es imprescindible, que aunque los hay de pago también los tenemos gratuitos -AVG por ejemplo-. Y no basta con tenerlo, sino que además tenemos que tener la base de antivirus bien actualizada con los nuevos inventos de esa gente maja que son los creadores de virus.

Y siguiendo con lo de las actualizaciones, qué podríamos decir del propio sistema operativo. También tiene que estar actualizado, algo muy cómodo hoy en día con la actualizaciones automáticas de seguridad que en su día implantó Debian y que ahora parece que ha inventado Microsoft con su Microsoft Update.

¿A qué viene todo esto? Pues viene a que éste es el aspecto que tiene la pantalla de las Actualizaciones Automáticas de mi portátil del trabajo -obsérvese la opción marcada y la imposibilidad de seleccionar ninguna otra-:


Es de suponer que esto está así porque desde el Departamento de Sistemas es desde donde se gestionan y programan los parches a aplicar a nivel corporativo, pero lo cierto es que si alguna vez se hizo así, ya no. Algunos nos entretenemos en entrar en Microsoft Update y vamos teniendo el equipo actualizado. Otros no.

Casualmente esta semana el Departamento de Soporte ha estado muy entretenido limpiando un gusano que se ha colado hasta la cocina y ha infectado a todo cristo, excepto a los actualizados. Pregunta para nota: Otro sistema crítico para evitarlo tampoco esta actualizado, ¿adivinas cuál?

3 comentarios:

RafaG dijo...

No, no y no.

Los administradores de sistemas, son como cualquier otro 'ente' informático. Tienen sus prioridades y sus limitaciones.

Realmente, la política usada es correcta, no aplicar ningún parche de seguridad hasta comprobar completamente que no afecta al resto de las aplicaciones instaladas en los equipos.

El problema, como siempre, viene dado por la falta de tiempo y la presión en su trabajo. En horas es imposible verificar todas las configuraciones disponibles junto con los nuevos parches.

El resultado, estos problemas.

Además, ellos siempre tendrán en cuenta una regla informática básica, estar un paso por detras de la última actualización, ya que de la última, aún no conocemos sus vulnerabilidades.

RafaG

JoseMa Perez dijo...

¿Y los antivirus también los dejamos un tiempo sin actualizar, digamos meses (no es una exageración), para comprobar que limpian bien lo limpiable? :-)

Además, puedo entender esa teoría, pero no la comparto en absoluto. Puedo entenderla si el tiempo de actualización es razonable. Y no la comparto porque me parece suicida no parchear una vulnerabilidad conocida por miedo a una hipotética (y por lo tanto desconocida).

No se, es como no saltar del barco que se está hundiendo por si acaso el bote salvavidas está pinchado.

Por cierto, el gusano se coló por una de esas vulnerabilidades conocidas desde hace tiempo y no parcheadas, y es que se nota que en el principio de los tiempos la operativa era la que indicas, pero dos fusiones después de eso ya no se encarga nadie.


Gracias por pasarte por aquí. :-)

RafaG dijo...

No todos los agujeros de seguridad son iguales, depende mucho la criticidad del sistema, la exposición que tenga a las amenazas, etc.

En cualquier caso, visto los otros ejemplos que has puesto, esta claro que alguien no esta realizando bien su trabajo.

RafaG