artículos
 comentarios

Tener un plan

Septiembre 4th, 2008 por Alf

¿Qué pasaría si te dejas el portatil en un taxi con todos tus ficheros personales? ¿Y si te dejas el móvil con mensajes “comprometedores” en un bar? ¿Qué pasaría si alguien se hace pasar por tí en el banco? ¿Y si alguien “hackea” la base de datos de tu Universidad y saca información personal entre la que estás tú incluido? ¿Has pensado qué pasaría si alguien se hace con todos esos recibos del banco que tiras a la basura? ¿Y si “hackean” tu blog y ponen contenido “no apropiado”? ¿Y si la guardería de tus hijos da información privada a extraños? ¿Y si alguien te instala un troyano en el PC de casa y lo utilizan para distribuir SPAM o pornografía infantil?

Lo normal es que hayas pensado en algunas de esas cosas. Y más normal todavía que hayas minimizado la probabilidad de que ocurra, así como su impacto o importancia.

¿Por qué me va a pasar esto a mi?

Cuando uno trabaja en el campo de la seguridad, tiende a pensar de forma más paranoica que el resto de la gente. Ojo, esto no significa que uno sea más capaz de evaluar un riesgo (el ser humano es notoriamente incapaz de evaluar una probabilidad o un impacto, a no ser que disponga de estadísticas fiables como tienen las compañías de seguros)

Personalmente, y porque me dedico a estas cosas, me he puesto en lo peor muchas veces, con objeto de intentar evitar o prevenir algunas cosas. No todo se puede evitar, por supuesto, pero a veces es posible mitigar el impacto si llega a suceder.

A lo largo del tiempo esto me ha llevado a usar sistemas operativos “minoritarios” en casa, a usar tecnologías de cifrado en el portátil, a contratar un seguro para mis tarjetas de débito y crédito, a tener una alarma en casa, etc.

Pero hoy leyendo el blog de Anton Chuvakin he pensado, joder, si parte de mi trabajo es desarrollar planes de seguridad para empresas, detallando los escenarios posibles, los datos a proteger, con quién contactar, y procedimientos para actuar en caso de incidente (contener, evaluar, notificar, prevenir)… ¿Por qué no aplicar lo mismo al entorno doméstico?

Se trata de formalizar lo que ya haces, por escrito, y dándole una pensada. Lo más probable es que te des cuenta de cosas que deberías hacer, o de cosas que haces y no sirven para nada. Tenerlo documentado y razonado (¡y actualizado!) hace que cuando algo ocurre, se reacciona de forma más eficiente y rápida, y sin pánicos innecesarios.

Yo estoy en ello. ¿Y tú?

6 comentarios »

6 respuestas a “Tener un plan”

  1. 04 Sep 2008 4:45 pm    Dondado

    No es mala reflexión, yo soy precavido en estos temas de seguridad de la información pero reconozco que si alguien consigue acceso físico al ordenador de casa no les iba a costar mucho volverme loco, y si entran a robar en casa no es raro que se terminen llevando el PC.
    Cuanto más leo cosas sobre seguridad internet más claro que tengo que seguro del todo no hay nada y es una mera cuestión de 1.-coste/beneficio: si el beneficio que pueden sacar accediendo a tu información compensa lo harán 2.-Dificultad relativa: si es más fácil acceder a tu información que a la de los demás, serás la próxima víctima.
    Así que lo que intento es poner las cosas lo más difíciles posible y diversificar para que si algún día caigo por algún lado no caer en cascada por todos

  2. 04 Sep 2008 5:07 pm    Javier Cao

    Al leerte me ha venido a la mente dos de mis post, uno de Schneier sobre la psicología de los que nos dedicamos a la seguridad (por aquello de que puede que parezcamos paranóicos aunque sólo es que miramos al mundo con “otros” ojos) que puedes ver en http://seguridad-de-la-informacion.blogspot.com/2007/03/la-psicologa-de-la-seguridad.html y otro sobre el modelo humano de gestión del riesgo que puedes leer en http://seguridad-de-la-informacion.blogspot.com/2008/03/el-modelo-humano-de-gestin-del-riesgo.html

    Yo si he pensado en algunas de las posibles contingencias y ciertamente no tengo un “plan de continuidad de negocio” pero si planes parciales frente a ciertas contingencias. De todos mis activos digitales, hay dos cosas que realmente me dolería perder: uno son las fotos digitales y el otro me lo reservo para no dar pistas ;-) .

    Respecto al primero, las fotos, mi plan es tolerante frente a avería de disco y avería de ordenador. También parcialmente tolerante frente a incendio mediante una política de tener todo en mas de un sitio, algo que podríamos llamar “could backup”. Además, mi seguro de hogar ahora cubre parte de estas contingencias.

    Respecto a los activos no tangibles como cuentas de usuario, mi política de contraseñas es tener cuatro grupos de menos a más seguridad y según el sitio y la relevancia del servicio online al que me apunto, uso unas u otras. No me fio de los administradores y la custodia que hagan de las contraseñas de los demas. También para evitar spam tengo varias direcciones gmail con etiquetas publi.javier, buzon.javier, etc.

  3. 04 Sep 2008 5:50 pm    Alf

    Dondado, el tema del coste/beneficio es que muchas actividades, digamos, maliciosas, están empezando a tener coste 0, simplemente por volumen y gracias a la automatización.

    El tener un software que escanee máquinas conectadas, pruebe una docena de vulnerabilidades, y luego, una vez dentro, busque sitios comunes (Mis Documentos, etc) para sacar cosas interesantes… esto es gratis.

    Y tienes que tener en cuenta los incidentes no intencionados, sin motivación económica, y que pueden causar estragos.

    Javier, yo también uso la estrategia de los grupos de contraseñas. Para el spam realmente no hago nada. En GMail me llega poco, y al trabajo NADA (quizá porque tenemos uno de los mejores productos anti-spam que hay en el mercado, jajajaja)

    Si no te importa (supongo que no), voy a modificar el post para incluir link a uno de los artículos tuyos que me comentas :)

  4. 04 Sep 2008 6:44 pm    Javier Cao

    Encantado. A ver si el Sr. Schneier también usa uno de mis cutre-montajes para publicarlo en su blog porque a ti te lee pero a mi no ;-)
    El último de Google Chrome es cutre pero significativo.

  5. 04 Sep 2008 7:03 pm    Alf

    No soy tan famoso como para que me lea el señor Schneier (lo más parecido a una “rock star” que tiene la industria de la seguridad)… Le mandé yo mismo el link, como curiosidad. Me contestó “Funny. Thanks”, así en 2 palabras. Y a los pocos días lo puso en su blog. Me imagino que le llegarán cienes y cienes de miles de emails todos los días. Cuestión de suerte :)

  6. 05 Sep 2008 4:50 pm    Esta semana he visto… XLI | Dondado

    [...] suficientes precauciones respecto a tu propia seguridad de la información? Alfredo [...]