Entender la seguridad IT como parte del trabajo del día a día

 Hace bastantes años trabajé en el departamento de IT de un hospital grande. En aquel momento el hardware en los puestos de usuario estaba compuesto principalmente por terminales de texto o, en algunos casos, por PC's con software de emulación de terminal. Los terminales estaban conectados con un puerto serie a unos equipos que se llamaban servidores de terminales, la función de estos equipos era emular las conexiones series a través del cable de red (una transición de los entornos de host con terminales a los equipos en red).

Los servidores de terminales cargaban un sistema operativo para arrancar, el equipo que "servia" las imágenes del sistema operativo era un único PC, con un procesador 8086, sin soporte por parte del fabricante desde hacía más de 5 años, funcionando con Xenix (un sistema operativo ya obsoleto que tampoco tenía soporte). Un fallo en ese equipo provocaba que, en caso de apagón, los servidores de terminales no arrancarían dejando sin servicio a varios cientos de usuarios.

¿Cual era la posición del departamento de IT?, poner el equipo en un rincón del CPD y avisar a todo el mundo que ese equipo no se podía parar ni tocar. De hecho, todo el personal del departamento inconscientemente daba un rodeo para no pasar cerca de ese equipo. 

Recientemente hablé con un cliente que tenía una cabina de discos antigua altamente crítica para ellos, en las últimas ocasiones, cada vez que había habido un problema con ese equipo se notaba la angustia en las personas del departamento de IT. En la ocasión en la que hablamos tenían un problema intermitente, aleaotrio y catastrófico.  Al ir a revisar las versiones del firmware y de parches del sistema operativo de los componentes implicados vimos que la versión más reciente tenía algo más de 7 años. A la pregunta de: "¿no habéis actualizado nada en este equipo en 7 años?" la respuesta fué que tenían la teoría de que si había funcionado desde el principio no actualizando no podían introducir errores nuevos, por lo que los equipos estarían estables para siempre.

Ambos casos son diferentes, pero tienen una cosa en común, en los dos hay un punto de fallo que provocaría una crísis importante y en los dos se toma la decisión de no hacer nada. En el primero la decisión se toma porque la situación ha llegado a un extremo en el que ya resulta complicado hacer acciones, mi reflexión siempre fué que entre el momento en el que se instaló esa solución y el que me la encontré habían habido inumerables situaciones intermedias, mucho más sencillas de manejar, en las que el problema no se había abordado. 

En el segundo caso lo que había era una decisión consciente, basada en una teoría descabellada, el cliente había tomado acción para evitar que se actualizara su entorno. Lógicamente llegó un momento en el que la teoría falló, cambiaron las condiciones del entorno, se incrementaron las operaciones de E/S en ese equipo y eso era algo que no ocurríó en los inicios, cuando lo pusieron en marcha. Un fallo en una batería deshabilitó la caché de escritura y ocurió la tragedia. 

Seguramente en este punto la pregunta será ¿y que tiene que ver esto con la seguridad? La respuesta es sencilla, en los dos casos del ejemplo el mantener un sistema actualizado habría implicado pequeños riesgos puntuales a lo largo de su vida, por evitar esos pequeños riegos (seguramente reversibles) se había alcanzado una situación de crísis potencial de muy difícil solución. 

Nuestra perspectiva de la seguridad sigue el mismo patrón que este razonamiento. Cada día aparecen nuevas amenazas, que es algo sobre lo que no tenemos control, cada cambio en nuestra infraestructura, cada nueva actualización de un producto, cada regla que creamos en el firewall puede estar induciendo directa o indirectamente una nueva situación de riesgo. No necesariamente tenemos un entorno seguro por instalar el firewall más caro del mercado si no hacemos nada más, tampoco estamos más seguros por no conocer los riesgos. De hecho podemos considerar una mejor práctica el conocer los riesgos aunque no se tomen medidas que el no conocerlos. 

La seguridad de nuestros sistemas va variando con el tiempo, crece cada vez que aparece una nueva vulnerabilidad o que se hace un cambio en los sistemas y decrece cada vez que se aplica una nueva actualización, por otro lado los intentos de intrusión también varían con el tiempo, en función de parámetros que no controlamos. Los incidentes de seguridad ocurren en momentos en los que nuestra vulnerabilidad es alta y los intentos de intrusión también lo son. Nuestro objetivo es reducir el único parámetro que podemos controlar, nuestra vulnerabilidad, y eso es trabajo del día a día.