Ciberseguridad: No protejas el PC

Por Bernardo Ramos, experto en seguridad de las TIC

¿Por qué pagar para proteger el PC?
¿Cuánto dinero despilfarramos para proteger nuestro PC contra los virus informáticos?

En un mundo en el que tanto la información como los programas que la procesan residen cada vez más en "la nube" ¿es razonable gastar esfuerzo y dinero en proteger el dispositivo terminal? (ya sea un PC, una tableta o un Smartphone)

El PC es una herramienta que se parece cada vez más al lápiz que utilizábamos "en la antigüedad" para procesar nuestra información.

• ¿Pagarías para proteger tu lápiz?
• Si tuvieras que elegir entre perder tu cuaderno o el lápiz con el que lo escribíste ¿qué elegirías?

Proteger el PC

• ¿Sigue siendo eficaz?

No porque siempre hay un porcentaje que no está bien protegido, lo que en rigor nos obliga a actuar como si ninguno lo estuviera

Teniendo en cuenta el número de unidades de PC de nuestras empresas y la diversidad de usuarios y formas de utilización, siempre hay un porcentaje importante de PC que están desactualizados

• ¿Sirve para algo? ¿Por qué protegemos el PC? ¿cuáles son los riesgos?

Para evitar la divulgación de la información sensible que contiene

• Si no protegemos la información sensible con algún sistema de cifrado, somos irresponsables.
• Y si lo hacemos, no necesitamos proteger el PC para evitar su divulgación

Para evitar su secuestro y utilización en una red de "bots"

• Si reinstalamos el PC periódicamente deshacemos cualquier "secuestro"

Para evitar que nos encripten sus datos y nos pidan un rescate por él

• Si no tenemos copia de seguridad de los datos de valor que tenemos en cualquier lugar, incluido el PC, somos irresponsables.
• Y si la tenemos, ese ataque no nos afecta

Para evitar que nos roben claves

• Si no protegemos nuestras claves con un programa adecuado (por ejemplo "keepass") somos irresponsables
• y si lo hacemos no necesitamos proteger el PC para mantenerlas seguras

Para evitar su utilización como punto de acceso a nuestra red

• Si nuestro PC no forma parte de la infraestructura "segura" de nuestra red y nuestros servidores están configurados para no fiarse de los PC, esto es irrelevante.

Proteger nuestro PC se come nuestros recursos y nuestro presupuesto

• Los programas de protección llegan a consumir más del 10% de la CPU de tu ordenador
• La infraestructura técnica necesaria para mantener al día todos los PC incluye varios servidores y una parte del ancho de banda de nuestra red
• La organización necesaria para asegurar un correcto nivel de actualización de los antivirus y correcciones de seguridad de todos nuestros PC ocupa a muchas personas.
• Pagamos todos los años por los programas de protección de nuestros PC, y, aunque el importe unitario pueda parecer reducido, dado el número de dispositivos que tenemos que proteger, el coste total anual es significativo

Algunos ejemplos de casos reales, cotidianos, en los que la protección del PC no es relevante

• En la banca electrónica, el banco no se preocupa por el estado de protección del dispositivo con el que accedes
  • Han establecido mecanismos de autenticación fuerte selectiva, en función de la importancia de la operación a realizar para garantizar el respeto de la voluntad del cliente
  • Los datos del banco no se ven comprometidos por el hecho de que el dispositivo del cliente esté infectado con un virus informático
• El comercio en línea
• En realidad, cualquier servicio que se presta desde "la nube"

La única razón por la que tendríamos que proteger nuestros PC es que un proceso sensible y/o datos sensibles residan en ellos.

• Pero en la actualidad esto es evitable
• De hecho, la mayoría de las empresas lo hacen, igual que en nuestra vida privada.
• La casi totalidad de los procesos relevantes en las empresas, incluyendo todos los que son sensibles, tienen lugar en servidores bien controlados, nunca en los PC

Por otro lado ¿cuántos de los PC de nuestra empresa contienen datos realmente sensibles?

• Y si los contienen, o bien están protegidos por algún sistema de cifrado o estamos cometiendo una imprudencia grave e infantil
• ¿En serio alguien puede pensar que el no tener virus en el ordenador es una protección adecuada y suficiente para nuestros datos sensibles?

Soluciones alternativas a la protección clásica de los PC:

Técnicas

• Los PC virtuales

Con esta técnica, cada vez que utilizamos un PC, lo "estrenamos"

Organizativas

• Reinstalación del PC
  • Periódicamente
  • En caso de duda o certeza de infección
  • Mixto

Funcionamiento

• Nos organizamos para poder prescindir en cualquier momento de todo el contenido del PC empezando desde cero
• Establecemos un sistema sencillo y rápido de reinstalación del PC
• Ejecutamos dicha instalación sistemáticamente al menos una vez al año para asegurarnos de que funciona y de que sabemos hacerlo
• Como ventaja adicional, el rendimiento del PC no se degrada con el tiempo por el exceso de programas instalados de arranque automático

Conclusión

Centrémonos en la protección del lado del servidor, incidiendo en aquellos procesos y datos que son realmente sensibles

Dejemos de malgastar energías en proteger el PC, que representa un porcentaje mayoritario de nuestra infraestructura en volumen, pero alberga (o debería albergar) únicamente una mínima parte de nuestros datos y procesos sensibles

De este modo, podremos reforzar nuestra seguridad allí donde realmente es necesaria evitando el despilfarro que supone proteger todos los dispositivos.