jueves, 11 de diciembre de 2008

Las 10 leyes Inmutables de Seguridad




Esta semana, visitando el blog de Guillermo Taylor, de quien en días pasados presentamos una entrevista, ví un artículo curioso. Este articulo hacia referencia a las 10 leyes inmutables de seguridad, no solo aplicable a sistemas Microsoft sino a cualquier sistema. Las 10 leyes fueron publicadas en el 2000 por el gigante de Redmond y durante el último trimestre de este año efectuaron un repaso por estas básicas, pero completas leyes. Hoy, sin querer copiar el artículo de alguno de los sitios se las presento interpretadas a mi estilo pero sin perder el origen.

Ley #1: Si un intruso lo puede persuadir para que usted ejecute el programa de él en su computadora, ésta ya deja de ser su computadora.
Normalmente el intruso o atacante hará uso de la ingeniería social para convencerlo de ejecutar una aplicación aparentemente “inofensiva”, tiende a verse a través de correos electrónicos, tarjetas de felicitación electrónicas, que incluyen algún tipo de troyano o virus diseñado para hacer daño.
Procure no descargar archivos de fuentes desconocidas e incluso dude de algún contacto conocido que le envíe algún email fuera de lo común (lo digo por experiencia), puede que haya sido victima de algún atacante ya, y solo este usurpando su identidad, procure contactarlo por otro medio que no sea ese mismo email.

Ley#2: Si un intruso puede alterar el sistema operativo de su computadora, ésta ya deja de ser su computadora.
Estrecha relación con la Ley 1, pues si de alguna manera el atacante altera el sistema operativo de su equipo, lo siento pero lo has perdido. El sistema operativo es de manera metafórica el “alma” del PC, es quien efectúa y controla cada proceso que se debe realizar. Tiene acceso a toda la información almacenada en el equipo pues es este quien permite esa interacción entre el hardware y el usuario. Al ser alterado el sistema operativo quedara a merced del atacante.

Ley #3: Si un intruso tiene acceso físico sin restricción a su computadora, ésta ya no es su computadora.
Algo común entre las 3 primeras leyes es que su computadora ya no será suya. Suena intimidatorio, pero creo que para esta ley aplica el doble. Si alguien puede acceder a su computadora físicamente esta absolutamente deja de ser su computadora. Es una ley que aplica para todos, pero sobre todo aquellos que utilizan equipos móviles como portátiles, SmartPhone´s, PDA´s, etc donde almacenan información importante. Sin embargo cualquiera que pueda acceder a su PC de escritorio puede entre tantas cosas, retirar el disco duro (o rígido) y llevárselo robando su información, que después de todo es lo más valiosos para cada uno.

Ley #4: Si usted le permite a un intruso subir programas a su sitio Web, éste deja de ser suyo.
Muy acorde esta ley con el movimiento de la libertad de compartir información. Si tiene un sitio que desea compartir con el mundo, limite o condiciones el acceso de sus visitantes. No permita que se suban a su sitio Web archivos desconocidos o de dudosa procedencia. Estos se descargaran en su equipo y el de sus visitantes y las 2 primeras leyes entraran en vigencia. Restringa a sus usuarios y solo permita privilegios a sus colaboradores y no saboteadores.


Ley #5: Las contraseñas débiles atentan contra la seguridad fuerte.
Los mejores sistemas de seguridad se han visto violentados por la existencia de usuarios con passwords débiles. Como administrador de red solicite que sus usuarios implementen passwords fuertes y que incluyan caracteres especiales como @ $ & # así como letras en mayúsculas, minúsculas y números. La recomendación es la sustitución de letras por símbolos o números. Ej.: Password = P@$sW0rD y si desean pueden comprobar que tan fuerte es, en paginas como Password Checker.

Ley #6: Una máquina es tan segura como confiable sea el administrador.
Una mala pero muy arraigada práctica es dejar a los usuarios como administradores de los equipos o a nivel personal, logearnos o ingresar a nuestros equipos con una cuenta con privilegios administrador. El este tipo de usuario tiene control total sobre el sistema sobre el cual esta trabajando. Le permitirá ejecutar procesos desconocidos y tal vez dañinos para el sistema. Recomiendo que mientras trabajemos en aplicaciones básicas, Office, correo, Internet, etc lo hagamos con una cuenta de usuario estándar y de requerir instalar algo autentico, usemos entonces nuestra cuenta de administrador.

Ley #7: Los datos encriptados son tan seguros como la clave de desencriptación.
Se salto la Ley 5?? Regrese y léala porque esta estrechamente relacionada con esta ley. Si nuestra paranoia es tal, y desconfiamos de todo al punto que cada archivo en nuestro pc o correo que enviamos va debidamente codificado y encriptado, pero tu password de desencripción es “débil” has perdido tu tiempo y tu paranoia. Sigue las recomendaciones de la Ley 5.

Ley #8: Un antivirus desactualizado sólo es ligeramente mejor que ningún antivirus virus en absoluto.
Aun tienes el antivirus con licencia de 3 o 6 meses que venia con tu pc nueva… hace 1 año??? Lo siento pero tu pc esta infectada. El antivirus se debe mantener actualizado, si no tienes presupuestado comprar uno, busca uno gratuito pero asesórate sobre su reputación. Mantén tu sistema operativo actualizado en línea y utiliza software referenciado para conocer las vulnerabilidades de tu equipo y su solución.

Ley #9: El anonimato absoluto no es práctico, ni en la vida real ni en la Web.
Internet esta lleno de formularios que pretenden que sean llenados por Ud. Con sus datos reales. Sea celoso con su información, el anonimato no lo llevara a ninguna parte y menos si es un internauta reconocido. Lea las declaraciones de privacidad de los sitios que frecuenta, dude de las ventanas emergentes que lo anuncian como el usuario 1.000.000 del sitio, no llene formularios donde demasiados datos personales sean “obligatorios” a menos que confíe plenamente en el sitio. Internet, al igual que su ciudad tiene sectores poco recomendados para su seguridad, evítelos.

Ley #10: La tecnología no es una panacea

Se dice que si algo no esta en Google es porque no existe. La verdad?? Obviamente no es cierto, solo es un truco publicitario para este conocido buscador. La tecnología a brindado un sin numero de beneficios en todo el mundo, sin embargo la solución a sus problemas no siempre la encontrara en la red, no todo es perfecto, por el contrario también hay peligros, errores de sistemas, villanos al acecho, etc. Tratar de tener un sistema 100% seguro es imposible, cada día podemos hacerlo “más” seguro pero siempre habrá quien quiera hacer algún tipo de daño. El software que tenemos instalado es imperfecto pero nos ayuda en nuestras actividades, los virus son imperfectos y detectables pero también llegan a cometer sus oscuras actividades. Si Ud. Es un usuario de la tecnología asegure sus sistema actualizándolo y con sentido común.

1 comentario:

________ dijo...

Considero que en términos de seguridad no existe tal ("Las 10 leyes Inmutables de Seguridad", la seguridad es un proceso dinámico, además me pregunto porque 10 y no 11, 7, o 4, no se si tal vez el 10 sea mas apropiado dado el contexto occidental "Los 10 mandamientos" etc. me suena a marketing, aunque algún numero debía ser supongo). Ahora, analizando un poco el titulo respecto al contexto creo que esta mal la forma en la que esta redactado ya que literalmente muestra lo que es inseguro mas no "seguro" aunque pueda entenderse implícitamente (cosa que seria un atrevimiento decirla, pero claro al mejor estilo de Microsoft suele pasar). En realidad creo que tendría algunas objeciones mas para comentar pero prefiero no hacerlo ya que no me gusta crear polémica en "leyes" vanas. Aunque no soy escéptico a las normas de seguridad para prevenir la gran mayoria de posibles vulnerabilidades prefiero pensar en esta como “una cadena en la que el eslabón mas débil tiende a romperse”.

Un Saludo.