Tuesday, August 11, 2020
Canal de Noticias de Buenas Prácticas de Gobierno y Gestión de Tecnología de itSMF España

Conocer, paso previo para securizar.

By Contenidos , in itSMF España , at 29/07/2020 Etiquetas: , , , , , ,

Grupo de Trabajo ITSM4Seguridad de itSMF EspañaLo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre.

Dicen que decía Peter Druker aquello de “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre.”, aunque en realidad el autor de tan fantástica afirmación fue el matemático inglés William Thomson Kelvin (Lord Kelvin).

Y algo parecido, pero adaptado a los tiempos y tecnología actual, se podría aplicar a la Ciberseguridad y la Gestión de Activos de TI (ITAM, IT Asset Management): “Lo que no se conoce no se puede hacer más seguro, y lo que no se hace más seguro, acaba siendo atacado siempre”.

Conocer con detalle nuestra infraestructura es algo absolutamente necesario (aunque no suficiente) para empezar el camino de la seguridad en nuestras organizaciones. Y sí, la seguridad es un camino, no un destino, típicamente largo, que conviene recorrer con calma, sin prisa, pero sin pausa.

¿Por dónde empezar si no conocemos lo que tenemos?

ITIL 4, con uno de sus principios guía establece eso de “Start where you are”. Realmente es una idea muy vieja de gestión de proyectos y mejora continua, no es mérito de ITIL ni mucho menos, pero no deja de ser una gran afirmación.

El primer paso es conocer el entorno, saber dónde nos movemos, o como dicen algunos, “conocer la magnitud de la tragedia”. No tiene sentido tratar de poner 5 cerrojos a la puerta que tenemos delante, si antes no nos hemos dado cuenta de que tenemos una ventana abierta a nuestra espalda.

Prueba de la importancia de conocer la infraestructura, antes de lanzarnos sin orden ni concierto a tratar de hacerla más segura, es el hecho de que organizaciones como el Center for Internet Security (CIS), establecen el Inventario del HW & SW como los dos primeros controles a tener en cuenta (dentro del TOP 20 que han definido)

Y es que invertir solo en Gestión de Activos TI no es suficiente para alcanzar un nivel razonable de seguridad, pero sí será imprescindible, y proporcionará una línea base sobre la que empezar a trabajar. Solo conociendo con detalle la infraestructura corporativa ya se pueden comenzar a obtener indicadores relevantes sobre los que actuar:

  • ¿Qué % de equipos clientes y servidores están ejecutando sistemas operativos obsoletos? ¿Y cuántos no están correctamente actualizados con los últimos parches?
  • ¿Cuántos equipos no cuentan con antivirus, o lo tienen, pero no está actualizado? ¿Y cuántos tienen el firewall desactivado? ¿Y el escritorio remoto activado?
  • ¿Cuántos equipos tienen instalado SW obsoleto, no autorizado, o instalado de manera no controlada y desde dudosa procedencia?
  • ¿Cuántos equipos cuentan con usuarios locales con privilegios de administrador?

Resolver solo los aspectos anteriores no será suficiente, pero por otro lado, tampoco tiene mucho sentido embarcarse en grandes proyectos de seguridad sin resolver antes aspectos básicos (y críticos) como los anteriores. Sería como matar moscas a cañonazos.

Las anteriores pueden parecer cuestiones muy triviales, que ya deberían estar superadas, pero cuando estudios como el de Net Market Share revelan, que en Mayo de 2020, un tercio de los equipos que navegan por internet lo hacen con Sistemas Operativos Windows obsoletos, es evidente que hay mucho trabajo aún por hacer.

En todo caso, la inversión en sistemas de Discovery & Gestión de Activos TI como paso previo sobre el que apoyar posteriormente proyectos de mejora de la seguridad más ambiciosos, ha de verse así, como una inversión, nunca como un gasto. Invertir hoy para ahorrar mañana, esa es la amplitud de miras con la que hemos de empezar a trabajar. Y para ayudar a ampliar ese campo de visión, vayan por delante un par de cifras:

• Gartner, en sus múltiples research, estima que invertir en sistemas de Gestión de Activos Software (SAM, Softwar Asset Management) puede repercutir hasta en un 30% de ahorro en gastos de licenciamiento (sin tener en cuenta en esa cifra las repercusiones legales y de seguridad para la información que puede conllevar el uso de SW no legal)
• SOPHOS, en un estudio publicado recientemente, estima que más del 50% de las organizaciones españolas encuestadas han sufrido ataques de Ransomware el año pasado, con un gasto/pérdida media para su resolución por encima de los 260.000€ (cuando, aunque de manera no infalible, solo con haber resuelto las dificultades anteriores podría haber reducido el peligro de infección en un porcentaje muy elevado)

Conclusiones

Por seguridad, por ahorro de costes y para evitar problemas legales, está claro que la inversión en conocer qué tenemos en nuestra red, será un pilar fundamental, y uno de los primeros pasos que deberíamos dar en nuestro camino hacia la construcción de organizaciones más seguras.

Alejandro Castro
Miembro del Grupo de Trabajo ITSM4Security del Comité de Estándares de itSMF España