Peligro WiFi publicas
Me gusta ver o asistir a todos los congresos de seguridad que puedo, pero cada vez que salgo de uno o termino de ver cualquier vídeo de alguna charla, me acojono cada vez.
En muchos de ellos siempre termina saliendo el mismo tema, «Como se puede concienciar a la gente sobre la seguridad en la red«. Cuando lo hablo con gente que no es de ese mundo, la contestación es la misma, «y a mi que mas me da, yo no tengo nada valioso en el ordenador«, o algo como «Eso es cosa de cuatro friquis» o «Eso es cosa de las empresas de antivirus«. Pero luego cuando pasa cosas como la que explica Chema Alonso en su blog ( «¡Me han cifrado los archivos y me piden dinero para descifrarlos!». 5 Consejos para evitar un «Cryptolocker» ). Las cosas cambian.
«¡Me han cifrado los archivos y me piden dinero para descifrarlos!». 5 Consejos para evitar un «Cryptolocker»
Entonces resulta que en el ordenador si teníamos cosas valiosas, y rápido te llaman para que se lo arregles. Cuando te lo traen, si nos es que tienes que ir tu a su casa por que no sabe como desconectarlo o por que pesa mucho, y le preguntas si tiene copias de seguridad «ehhhh que es eso», «pufff es que no tengo tiempo«. Luego viene la otra pregunta, ¿No tienes instalado un antivirus?, la respuesta: «Para que, me vuelve muy lento el ordenador«, o otra típica, «Es que no me dejaba entrar en la pagina «www.velospartidosgratis.com» ( no se si existe, pero ya sabéis a que paginas me refiero) , que siempre te falta algo para poder ver los vídeos.
En un equipo particular no «pasa nada«, pierdes las fotos de las vacaciones, los correos con los amigos, los trabajos de la universidad, etc. Pero lo mas preocupante es cuando esto ocurre en una empresa.
La mayoría de empresas que tienen más de 20 equipos, solo tiene asistencia esporádica de un servicio técnico cuando le falla algo, y la mayoría de ellas, lo tiene segmentado, es decir, tiene una empresa que le lleva el software de gestión, otra que le lleva el mantenimiento de los ordenadores, otra de las comunicaciones, otra del telefonillo de la puerta, etc.
Y que pasa cuando falla algo:
- Empresa del software de gestión: ah eso no es cosa nuestra, eso es cosa del ordenador.
- Empresa del ordenador: A no eso es cosas del de sistema operativo, ellos solo llevan el hardware.
- Empresa de comunicaciones: Eso no es cosa nuestra, nosotros no controlamos por donde navegan nuestro clientes, solo damos el acceso.
- Etc, etc, etc.
Y así una detrás de otra, si se junta la cantidad que una empresa paga por esos servicios cubre con creces el disponer de un técnico en plantilla.
Una de las preguntas que surgió en el ultimo congreso que estuve fue, «¿Como calculo lo que la empresa tardara en recuperar esa inversión?». Y la respuesta del ponente me gusto mucho, no se quien fue le pido disculpas por ello, «El asunto no es cuando se recuperara la inversión, que posiblemente sera nunca, el asunto es: Se esta dispuestos asumir el riesgo de perder todo la información del negocio».
Y esa es la clave de todo el asunto, las empresas no ven como una amenaza la posibilidad de que alguien o algo, les pueda hacer perder todos los datos de su organización. Los temas de seguridad informática los siguen viendo como una cosa de ciencia ficción, de cuatro pirados. Y la verdad es que cada vez el tema se esta poniendo más complicado.
Y es que, la perdida de los datos de una empresa puede ocasionar grandes perdidas, tanto económicas, como de reputación, etc. Cuanto tiempo le llevaría recuperarse de la perdida de simplemente la base de datos de clientes, y ya no digamos de la facturación, y otras de ese tipo. Pero esta posibilidad no esta contemplada en las empresas actuales. Pero a la vez incorporamos más sistemas a la organización que aumentan las posibles amenazas, instalamos un red wifi, para que cuando vengan los clientes pueden conectarse a la red para que puedan wasapear, twitear, etc, pero no pensamos que igual que se conectan a internet, también se pueden tener acceso a todos nuestros equipos. Abrimos puertos en nuestro routers para que los comerciales se puedan conectar a la red desde cualquier sitio, sin valorar la posibilidad de que igual que acceden los comerciales, pueden acceder otras personas con no muy buenas intenciones.
Valorar la posibilidad de incorporar un informático a la plantilla de la empresa, solo se mide si va ha ser rentable en el sentido económico. Y esto es una equivocación, en la actualidad con la cantidad de amenazas que existen, no solo para los ordenadores, sin no para los smartphones, las tablets, las redes de comunicaciones, etc. Una perdida de información en cualquiera de esos dispositivos puede provocar grandes perdidas a la empresa. Y hay es cuando se tiene que empezar a reflexionar si es rentable una persona que evite esas perdidas o no.