Hay vida más allá de www ?

Tras un considerable periodo de tiempo sin aparecer por aquí ya va siendo hora de compartir algo con todos y todas. No voy a extenderme mucho pero entre vacaciones, gripazo e inicio de año movidito en el curro (encuentro cara a cara con W32.Downadup.B) pues apenas he tenido tiempo para dedicarme a este humilde oráculo de conocimiento ;-).
Para inaugurar el nuevo año, por cierto os deseo todo lo mejor (básicamente salud puesto que el resto no sirve de mucho sin ella), os propongo una disertación acerca de la percepción actual que tengo del mundo de la seguridad. Me gustaría remarcar que este fue uno de los motivos por los que me apetecía iniciar este blog.
En los tiempos en que me inicié en esto de la seguridad y la auditoría de sistemas, allá por el año 95, las medidas de seguridad a adoptar se reducían, en el mejor de los casos, a los aspectos más básicos y rudimentarios (seguridad física elemental, control de acceso lógico, copias de seguridad y poco más). Hay que tener en cuenta que en aquella época no habían demasiadas normativas (BS7799-1 es del 95), estándares (COBIT es del 96) y/o leyes (LORTAD del 92).
Las auditorías que por entonces realizaba estaban esencialmente centradas en la infraestructura informática (usando una “metodología” propietaria). Remarcar que lo habitual eran sistemas operativos DOS y/o Windows 3.x bajo redes Novell (las empresas “avanzadas” empezaban a tener Windows 95). En cuanto a bases de datos todavía habían organizaciones que tiraban de dbase. Los sistemas de "verdad" no eran más que enormes hosts (IBM, Bull, Unisys, NCR, etc) con sus pantallas tontas, algún que otro AS/400, escasos Unix (SCO, HP-UX, etc.) y por lo general se disponía de un “potente” servidor por allí escondido (con suerte tenía hasta 100 Mb de espacio en disco).
Por cierto, ¿internet? Pues va a ser que no ......... de hecho no se sabía gran cosa. En cuanto a comunicaciones en el mejor de los casos tenían líneas RTB para comunicarse vía módem con las delegaciones (en muchos casos de modo diferido mediante transferencias de archivos). Los más modernos tenían líneas X.25 a precio de oro por supuesto.
Aún recuerdo la cara de poker de algunos respetables directores de informática (el rol específico de seguridad era inexistente) al plantear temas como la custodia de copias de seguridad en otras ubicaciones, separación de entornos de desarrollo y explotación, controles en aplicaciones, segregación de funciones, etc. La verdad es que por aquel entonces había mucho que proteger además de aprender ........
Tras rememorar viejos tiempos deciros que, a mi juicio, la “gestión” de la seguridad (en su sentido más amplio) de la actualidad es idéntica a la de entonces. Ahora tenemos más complejidad, diversidad, etc. a la vez que más recursos, guías, etc., pero en el fondo, es más de lo mismo.
No obstante, a día de hoy me da la sensación que la seguridad, al menos “mediática” (blogs, web, prensa, tv, etc.), está única y exclusivamente centrada en internet y todo lo que la rodea. Con toda sinceridad, salvo casos muy muy puntuales, me temo que internet no es para nada la principal preocupación de los “chicos y chicas” de seguridad.
Al igual que a much@s de vosotr@s intento ir a jornadas, charlas, seminarios, etc. relacionadas con la seguridad con objeto de aprender, estar al día, descubrir nuevas ideas o puntos de vista, etc. No obstante, últimamente estoy dejando de ir a muchos eventos dado que la inmensa mayoría están focalizados en la seguridad de internet.
No digo que se haga caso omiso a la seguridad en internet pero llega un momento que me resulta excesivamente aburrido que todo gire alrededor de ella. Parece que lo único que nos incumbe sea: virus, Sql Injection, phishing, botnet, rootkit, privilege escalation and XSS, malware, 0-days, pentest, exploit, etc (términos extraídos de los últimos feeds almacenados en google reader).
Como he dicho antes, uno de los motivos que me estimuló a esta aventura bloguera fue la de aportar mi pequeño grano de arena a la seguridad de siempre, a la del día a día. Desde aquí reivindico mayor divulgación de ideas, experiencias, buenas prácticas, etc. relativas a la seguridad de ayer y de siempre.
Será que tengo el día tonto y melancólico .............. ;-)

CITA DEL DÍA: "Mi seguridad empieza donde empieza la tuya"

No hay comentarios: