Estamos equivocados con lo que hacemos en ciberseguridad?

Estamos equivocados con lo que hacemos en ciberseguridad?

 

La mayoría de las charlas y artículos sobre ciberseguridad en la industria de petróleo y gas apunta a dos aspectos: educar ‘usuarios’ y soluciones tecnológicas. Pero quizás estemos todos equivocados.

Hagamos una comparación con la seguridad física y el mundo policial. Allí, los errores humanos y la tecnología tienen su rol, pero es muy raro escuchar a los oficiales de policía y a la gente encargada de la seguridad física quejándose de sus ‘usuarios’ o pedir por más tecnología.

La gente encargada de la seguridad física sólo cumple con su trabajo, entendiendo claramente que siempre hay personas vulnerables, criminales sofisticados y estupidez de ambos lados, y que la tecnología puede ayudar y, al mismo tiempo, obstaculizar. Son concientes de que su tarea es manejar la situación lo mejor que se pueda, con la ayuda del sentido común y criterio humano.

Quizás la gente de ciberseguridad tenga que adoptar un enfoque similar.

La industria de petróleo y gas registró un evento importante de ciberseguridad en diciembre de 2018, cuando la empresa de servicios de perforación Saipem fue víctima de una versión del virus Shamoon que afectó entre 300 y 400 servidores, y hasta 100 computadoras personales, de un total de 4.000 máquinas, según un reporte de Reuters.

Shamoon es famoso por el ataque a Saudi Aramco en 2012, perpetrado después de que un empleado del departamento de informática cliqueara en un e-mail falso (phishing). Se puede propagar de una máquina a otra en la red, enviando sus archivos por e-mail, borrando el archivo y finalmente sobrescribiendo el registro de boot maestro de la computadora infectada, tornándolo inutilizable. Fueron sobrescritos más de 30.000 sistemas Windows y la empresa tuvo que instalar nuevos discos duros.

Teniendo en cuenta lo que ha pasado, ¿alguien que se encargue de la seguridad física estaría dispuesto a asumir el riesgo en su empresa?

Es muy probable que no se culparan a los usuarios o buscar soluciones de alta tecnología – los e-mails falsos son cada vez más sofisticados. La alta tecnología podría venir en forma de mejores escáneres de virus o sistemas analíticos de red, pero sólo lo harían si estuvieran preprogramados para detectar este tipo de amenaza, y tuvieran la autoridad y la capacidad de detener la propagación en un determinado sistema en cuestión de milisegundos.

Quizás en estos casos resulte más adecuada una respuesta con una tecnología no tan elevada.

Igual a lo que ocurre con un extraño a quien no se le permite el ingreso en una instalación altamente segura o hacer aterrizar un avión en un aeropuerto muy cargado, no se debería permitir que un e-mail desde afuera llegue al escritorio de un empleado sin un enlace que le permita instalar un software en una computadora segura conectada a una red segura.

Una lista blanca de aplicaciones de software y desconectar computadoras para aceptar e-mails externos desde computadoras con acceso a redes internas es molesto pero sin duda que podría servir en este caso.

¿Y qué hay acerca de la vigilancia humana en el mundo de la ciberseguridad? El mundo de la seguridad física hace un amplio uso de la gente.

El guardia de seguridad realiza chequeos físicos manuales y mantiene un registro mental de las idas y venidas regulares en una instalación, lo que hace mucho más fácil detectar un intruso.

En el cibermundo, si es necesario identificar rápidamente una actualización legítima de Windows versus una falsa, es una tarea que no requiere de talentos enormes en ciberseguridad y quizás sea mejor tratar de hacer tal trabajo con personas en lugar de máquinas.

El mundo de la seguridad física adora la simplicidad. Un aeropuerto tiene una sola área segura de gran tamaño en la cual se puede ingresar una vez chequeado. En cambio, los sistemas computarizados son tan complicados que a un intruso le puede resultar realmente fácil ocultarse allí.

Pero está claro que esto podría ser mucho más simple. ¿Qué sentido tiene usar Windows cuando un simple controlador lógico podría realizar perfectamente esta tarea?

 

Ideas rescatadas de una serie de foros de ciberseguridad 2019 en Inglaterra.

Modificado por última vez en Lunes, 24 Junio 2019 17:01
© 2018 Editorial Control. Desarrollado por Estudio Pionero.