Read the rest of the post ' Cómo transportar y manipular Obras de Arte '
Con la reciente caída de los servicios de Facebook, Instagram y WhatsApp a nivel mundial, me ha parecido un buen momento para escribir este artículo y recordarnos por qué, cuando hablamos de la seguridad, involucramos tres aspectos fundamentales: la confidencialidad, la integridad y la disponibilidad; y cómo, éste último, a menudo es desestimado injustamente.
El caso de Facebook, además de poner en jaque a las empresas que dependen de Facebook como parte de su modelo de negocio (pensemos en todas las empresas que puedan usar el portal de Facebook como su web corporativa de cara al público, perdiendo esa primera toma de contacto con potenciales clientes; o en esas otras empresas que requieren del negocio de publicidad de Facebook para llegar a millones de usuarios y que no han podido alcanzar a sus clientes potenciales, mientras que su competencia sí), nos abre la puerta a pensar que uno de los gigantes de Internet sufrió lo impensable en esta sociedad conectada: estuvo caído horas.
Y si Facebook, una empresa que seguro cuenta con algunas de las mentes más competentes y brillantes, pudo estar caída horas, creo que se puede asumir razonablemente que cualquier proveedor de servicios, por grande que sea, puede verse en la misma situación. ¿Y dónde nos deja a nosotros como empresas y particulares? Pues en una situación muy peliaguda si no hemos hecho bien nuestros deberes. Y estos deberes no son más que preparar el día que no contemos con algo que es fundamental, por improbable que parezca.
Las empresas y los que nos dedicamos a la ciberseguridad tenemos gran parte de la culpa de que estos problemas no se ataquen debidamente, ya que nos centramos en lo inmediato, en lo más tangible, dejando estas cuestiones del “y si…” para momentos mejores que, al final, nunca llegan. Y es un problema que nos afecta tanto a empresas como a usuarios.
Veamos el caso más claro que se nos viene al pensar en un problema de seguridad por disponibilidad: la copia de seguridad de mis archivos. Todos somos capaces de imaginar la situación en la que hemos perdido nuestros archivos, bien sea por un ataque informático, bien por un error por nuestro lado. Si en ese momento nuestro fichero de backup, que tenía en un disco duro, falla, la copia de seguridad no está bien hecha o incluso se me olvidó hacerla, estamos ante un problema serio de indisponibilidad. Otro caso lo solemos encontrar con el proveedor de Internet. En caso de caída de nuestro proveedor, ¿nos encontramos totalmente aislados de la red o tenemos otro proveedor de repuesto que nos pueda dar servicio en ese tiempo? Aunque esto os pueda sonar rocambolesco, la mayoría de empresas grandes suele tener este servicio contratado, al mismo tiempo, con dos proveedores con este mismo fin. Y, si lo pensamos como usuarios, realmente es tan sencillo como tener precontratado un plan de datos móviles con otro proveedor que me pueda dar servicio de Internet en caso de caída de mi proveedor habitual.
Pero la indisponibilidad no sólo nos afecta en casos tan claros, sino que también afecta a las propias medidas de seguridad. ¿Qué pasa si mi Antivirus tiene un error grave y no se puede ejecutar? ¿Me quedo sin protección y lo asumo o tengo alguna herramienta prevista para poder usarla si esto me pasa? ¿Y si encima me pasa cuando estoy en medio de una situación de crisis porque creo que puedo tener el ordenador infectado? Por eso, desde el mundo de la ciberseguridad, siempre hablamos de planificar los controles en concepto de “defensa en profundidad”, esto es, plantear líneas solapadas de defensa por si una se ve comprometida. Es un concepto que ya se daba en la Edad Antigua, con las ciudadelas fortificadas dentro de las ciudades, que se beneficiaban tanto de la muralla exterior como de la propia, en previsión de una posible toma y captura de la primera. Y este concepto se vuelve especialmente relevante en cuestiones de disponibilidad, donde tenemos que prever situaciones anormales en las que no hay acceso a las herramientas habituales. Veamos dos ejemplos muy claros y relevantes, tanto para empresas como para usuarios.
En primer lugar, en el caso de un backup o copia de seguridad, tengo que prever el no poder conectarme a Internet y, por tanto, disponer de una copia física que pueda recuperar fácilmente. Es parte de la regla ya tan conocida del 3-2-1 que, a menudo, hemos resaltado desde este blog.
Otro ejemplo que se suele pasar por alto lo encontramos en los mecanismos de doble factor de autenticación, es decir, ese código adicional que recibimos, generalmente en el teléfono por SMS o aplicación, cuando vamos a acceder a alguna cuenta o realizar alguna operativa crítica. ¿Qué pasa si no tengo el móvil disponible por batería, porque lo he perdido, me lo han robado, etc.? ¿Y si tengo que acceder además urgentemente a mis cuentas porque me han robado el móvil y temo que lo puedan emplear de manera fraudulenta? Cuántos usuarios y empresas han adoptado esta operativa sin desplegar otros mecanismos para recuperarla en caso de pérdida del sistema principal. Y cuántos usuarios desconocen que, asociado a este tipo de doble factor, generalmente, hay un listado de 10 códigos de un solo uso que se recomienda imprimir y guardar en lugar seguro para el día que esto suceda.
En conclusión, la ciberseguridad tiene un aspecto fundamental, la disponibilidad, que nos obliga a pensar, prever y preparar el día que nos quedemos sin acceso a algún sistema fundamental. Y no debemos considerar este escenario como tan improbable, a la luz de los recientes acontecimientos de Facebook, por lo que no lo pospongamos tanto que llegue el temido día y nos demos cuenta que no habíamos hecho nuestros deberes. Como siempre, un cariñoso saludo a los lectores y ¡nos vemos el próximo mes!
