SEGURIDAD INFORMÁTICA: MÁS CULTURA QUE TECNOLOGÍA

Cuando hablamos del tema de seguridad en ambientes de redes informáticas, lo último que debe saltar a nuestras mentes es: “cuanto tengo que invertir en tecnología”. Más allá del tema tecnológico, y la inversión necesaria, la seguridad informática es más un tema de cultura y saber aplicar mejores prácticas.


 


Ahora la pregunta que puede surgir es: ¿porqué la seguridad informática es más un tema de cultura y casi no tecnológico?, y la respuesta es sencilla; de nada sirve tener el mejor, el más moderno y más seguro firewall, antivirus o cualquier herramienta de seguridad, si un usuario interno de la red, por ejemplo, al compartir un recurso de red (carpeta o archivo) coloca permisos para que el resto de usuarios puedan ingresar, ver, cambiar, y/o borrar información; y más grave aún si se trata de información confidencial o reportes de la empresa. Otro ejemplo bastante claro y cotidiano sucede con los correos electrónicos, un medio que está siendo usado masivamente para ejecutar ataques informáticos. En este caso, sin ningún tipo de precaución todo correo que arriba a los buzones de los usuarios es abierto, inclusive si tiene un archivo adjunto con un nombre llamativo o atrayente donde puede estar embebido algún tipo de malware (virus, troyanos, gusanos). Y estos son solo dos de los ejemplos con los cuales me he encontrado en algunas oportunidades que he podido hacer evaluación y auditorías de seguridad a varios de tipos de empresas, desde públicas hasta privadas.


 


Si nos remitimos a los estándares de seguridad disponibles para certificar a una empresa, por ejemplo la norma ISO17799, una gran cantidad de los controles a ser evaluados hacen referencia o están relacionados con procesos directos o indirectos en los cuales los usuarios participan.


 


La tecnología y su gama de herramientas encaminadas a crear ambientes seguros y confiables de red, no son nada más que un complemento a los procesos y tareas que ejecuta un usuario (ser humano) tomando en cuenta los principios que permiten el mantener un ambiente de red seguro:


-          Confidencialidad, asegurar que únicamente personal autorizado tenga acceso a la información.


-          Integridad, garantizar que la información no sea alterada, eliminada o destruida por entidades no autorizadas.


-          Disponibilidad, asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.


 


No olvidemos que en ambientes de redes informáticas no podemos hablar de un 100% de seguridad, no existe una sola red de computación que no sea vulnerable de ataques; inclusive si no se encuentra conectada a Internet; y esto debido a que un buen porcentaje de los ataques que recibe una red son provocados desde el interior de la misma por usuarios curiosos o con otras intenciones.


 


Es de importancia suprema, antes de adquirir tecnología de seguridad, educar a nuestros usuarios de red acerca de todos los principios y cuidados que deben aplicar cuando se encuentran trabajando con información sensible de la empresa, o inclusive en sus hogares. Una vez hecho esto la inversión en tecnología de seguridad se reducirá a solo ciertas herramientas necesarias, como: un buen anti-virus, firewall personal y empresarial, anti-spyware, entre otros.


 


De la experiencia que he podido obtener, la propuesta acerca de la “cultura de seguridad informática” se apoya en cuatro pilares:


-          Capacitación e inducción, de todos los usuarios sobre temática de seguridad informática técnica y no técnica.


-          Evaluación y auditoría, de todo el ambiente de red informática, lo cual incluye: instalaciones físicas, equipos de tecnología, mantenimiento de información sensible de la empresa y procesos de negocio, basados en estándares como la ISO 17799.


-          Aplicación de mejores prácticas y procesos de seguridad documentados por el fabricante, para asegurar servicios de red, reducir el área de posibles ataques y garantizar el cumplimiento de los principios de seguridad de la información sensible de la empresa.


-          Implementación de herramientas de software y hardware adicionales, en caso de que sean requeridas.


 


En resumen, y a manera de conclusión, como profesionales de TI busquemos la manera de crear un ambiente de red seguro iniciando con todos nuestros usuarios, haciéndoles ver la importancia de la seguridad y las consecuencia de no saber aplicarla; con esto estarán consientes de aplicar “seguridad informática” en todos los procesos tanto dentro de la empresa como en sus hogares.

Parte II: ID 9562: Failed to read attribute msExchUserAccountControl from Active Directory…

Bueno el problema persistió. Pero ya descrubí el verdadero problema, pero para llegar a la solución voy a indicar un escenario inicial.


Cuando instalas Windows Server 2003 + SP1 y posteriormente tratas de instalar Exchange 2003, Windows Server presenta una advertencia de que Exchange 2003 no es compatible a menos de que se instale un parche (no recuerdo cual), sin embargo esto hace referencia al SP2 de Exchange.


Ahora resulta que cuando instalas primero Windows Server 2003, sin SP1, e instalas Exchange 2003 no existe ningun problema. Al actualizar Windows Server 2003 con SP1 sin instalar el SP2 de Exchange, este deja de funcionar correctamente y es ahí cuando se presenta el error.


En resumen, si tienes un servidor con Windows Server 2003 Exchange 2003 y los quieres actualizar con el último SP de ambos productos, primero instala el SP1 de Windows y luego el SP2 de Exchange para evitar un mal funcionamiento.