No hay blog que se precie que no publique cada cierto tiempo una entrada conmemorando el aniversario de su nacimiento, con el único propósito (no carente de narcisismo) de mirarse el ombligo y decir aquello de “Cómo hemos cambiado”, que cantaban Presuntos Implicados en 1991.

Por lo general, se trata del primer aniversario, el segundo, quizá incluso el tercero, y luego ya se pasa al quinto, el décimo, el decimoquinto, el vigésimo, y ya saben cómo sigue la serie. Resulta curioso que a partir de cierto momento, limitemos los aniversarios a los múltiplos de cinco. No es habitual, que yo sepa, celebrar el séptimo o undécimo o vigésimo tercer aniversario de un acontecimiento. En fin, cavilaciones mías.

[Read more…]

Hace unas semanas, “mi” entidad bancaria me informó de que habían implementado ciertas modificaciones para incrementar la seguridad de las operaciones bancarias (en realidad admito que no sé si decía “incrementar” de manera explícita, pero desde luego estoy seguro de que no mencionaba “reducir”). El cambio consistía en que la archiconocida tarjeta de coordenadas dejaba de funcionar, y en su lugar el código que se debía utilizar para autorizar la operación se recibiría en el móvil.

Todo parece correcto. Me siento frente al ordenador, abro la página web de la entidad bancaria e introduzco mi código de acceso. Voy, por ejemplo, a realizar una transferencia. Relleno los datos y a la hora de firmar la operación en el móvil recibo un mensaje push con el código que tengo que utilizar. En apariencia el cambio no es de gran relevancia, aunque sí es cierto que es más cómodo, ya que el móvil lo suelo tener localizable, y la tarjeta no siempre la llevaba conmigo. Además, en teoría es más fácil perder o que te roben la tarjeta de coordenadas que el móvil, por lo que con este cambio evitamos que si la pierdo, tenga que solicitar una nueva, lo cual puede suponer un incordio si necesito hacer una operación de urgencia.

Genial, ¿no? Dejémoslo en psé…

El problema viene cuando consideramos la pérdida o robo del móvil. Si asumimos que un usuario no protege el acceso a su móvil por PIN, huella dactilar o patrón de deslizamiento (que es algo que la entidad bancaria no tiene por qué asumir), nos encontramos con que la seguridad de cualquier operación queda reducida a un número de cuatro cifras: el PIN de acceso a la cuenta. Y no hablamos de un pago, como podría ser el caso del robo de la tarjeta, sino de cualquier operación. Por ejemplo, una transferencia de todo mi dinero a una cuenta de Western Union.

Porque en el móvil una vez se introduce el código de acceso a la cuenta, todo el campo es orégano; el proceso de firma de una operación no aporta nada en absoluto: se pulsa el botón “Firmar” y en ese momento el código de firma aparece en la parte superior de la pantalla. Sólo tiene que introducirse en la caja de debajo y voilà. Así de simple. De hecho, podría eliminarse la firma cuando se utilice la aplicación en el móvil asociado a la cuenta, y el resultado sería el mismo. Técnicamente, podría decir que cuando utilizo mi móvil, las operaciones no se firman.

No puedo negar que este cambio supone una gran comodidad. Sólo con el móvil puedo realizar cualquier operación sobre mi cuenta bancaria, sin tener que localizar o llevar encima la tarjeta de coordenadas. Y va en la línea del pago vía móvil que empieza a llegar de manera masiva, en el que el móvil pasa a sustituir al plástico, y en el que habrá que ver cómo van a gestionar las entidades los riesgos derivados del malware en dispositivos móviles. En cualquier caso, si consideramos que la utilización de aplicaciones móviles para la realización de gestiones bancarias es cada vez más habitual, un movimiento como este me parece que resta mucha seguridad a mi cuenta bancaria.

Se acerca el fin de año y ha llegado la hora de echar un vistazo atrás y ver qué nos hemos dejado en el camino. Seré breve, se lo prometo. Creo. Bueno, a lo mejor. La verdad es que lo dudo. No, no seré breve; es imposible que yo sea breve.

Me gustaría comenzar con un viejo amigo. Y es que el año 2015 ha sido la confirmación de que, a pesar de tener una dura competencia, Flash está firmemente decidido a no ceder su puesto en lo alto del podio como el producto (probablemente) más inseguro de los últimos años; es raro el mes que no sale una actualización que soluciona N+1 problemas de seguridad, condimentada de vez en cuando con un alegre 0-day que hace las delicias de (casi) todo el mundo. El ataque a Hacking Team en julio no ayudó, y algunas voces autorizadas comenzaron a pedir que los chicos de Adobe sacrificasen a la bestia para conseguir al fin algo de paz. Como ya saben, la bestia continúa suelta, así que tengan cuidado.

[Read more…]

Aunque la noticia tiene poco más de 12 horas (apareció ayer en algunos medios chinos), no ha tardado mucho en propagarse por los medios especializados norteamericanos. Entre otros, ArsTechnica, Bruce Schenier, Wired o Dan Kaminsky tienen breves comentarios sobre las especulaciones realizadas por los investigadores chinos Lian Li y Huan Chen, de la Peking University, a partir de una investigación realizada recientemente.

Al parecer, todo surgió por casualidad a finales de 2013, mientras Li y Chen realizaban el análisis forense de tres equipos que habían sido comprometidos. Al analizar diferentes paquetes de actualización de Adobe almacenados en el equipo (que se sospechaba que podía haber servido como vector de ataque para la infección), se detectó que todos ellos presentaban una estructura similar: la propia actualización y un bloque de datos cifrado C1 que podía variar de 65536 bytes a varios MBs.

[Read more…]

[N.d.E: Pablo Fernández Burgueño nos ha pedido por Twitter que hagamos algunas modificaciones al post, dado que el punto de partida de éste eran en gran parte sus declaraciones al medio digital, que habían sido mal recogidas por el periodista y en realidad éste no dijo. Las modificaciones realizadas aparecen en color rojo -inclusiones- o tachadas -eliminaciones-. En cualquier caso, hemos decidido mantener el resto del contenido del post como mero ejercicio de análisis, siempre dejando claro que tras la corrección, el punto de partida es una hipótesis y no las -mal recogidas- declaraciones de Pablo Fernández].

Hace unos días, un amigo se quejaba de las trabas que desde los tribunales y las entidades gubernamentales se ponen constantemente a actividades como compartir información en Twitter. Esto surgía a partir de una noticia en El Confidencial, en la que se mencionaba que la AEPD había amenazado con un ultimátum a las empresas españolas a propósito de la anulación del acuerdo de Puerto Seguro, de cuya sentencia ya hablamos aquí en su día.

[Read more…]

Queridos amigos,

Una vez más, como cada año por estas fechas, ha llegado el (tristísimo) momento de despedirse. Todo el mundo necesita un descanso de vez en cuando; también nosotros. Pero como estarán hartos de oír, esto no es un adiós, es un hasta luego; sí, lo sé, vaya con la frasecita de marras. Como les iba diciendo, nos retiramos a nuestros aposentos hasta el próximo 1 de septiembre, aunque si he de serles sincero, tampoco puedo garantizar que en un arranque de emotividad, morriña y entusiasmo aparezcamos algún día a saludarles con alguna entrada.

[Read more…]

El pasado domingo 7 de diciembre estuve dando una charla en el taller de empleo del Cybercamp, iniciativa que aunque como cualquier evento en su nacimiento tiene margen de mejora, mostró grandes cualidades y promete ser una importante cita anual para acercar el mundo de la ciberseguridad no sólo a los técnicos y personal especializado, sino también a estudiantes e incluso familias.

Aunque la charla que di tenía dos partes claramente diferenciadas, en este post me voy a centrar en la segunda, más relacionada específicamente con el empleo, en la que indicaba algunos pasos y aspectos a tener en cuenta para cualquier persona que quiera entrar en el mundo de la ciberseguridad (y encontrar un empleo). Vamos con ello:

• Especialmente si te vas a dedicar a la seguridad lógica, conoce y aprende a utilizar las herramientas de seguridad gratuitas que hay en la red: Snort, Yara, Metasploit, Logstash, OSSEC, Nessus, PFSense, etc. Experimenta, experimenta y experimenta. Incluso aunque estés más enfocado hacia la consultoría o aspectos más organizativos, es bueno que conozcas el propósito de las principales aplicaciones, cómo funcionan grosso modo, además de nociones básicas del funcionamiento de los sistemas operativos.
• Manténte informado. El volumen de recursos hoy en día relacionados con la seguridad de la información es ingente: blogs, conferencias de seguridad, actos en streaming, informes de seguridad, libros, papers, nuevas vulnerabilidades, etc. Lo mejor es que mucha de esa información es gratuita. Pero no te olvides de las leyes nacionales (LSSI, LPIC, LOPD, etc.), nuevas tendencias y ataques, tendencias y ataques típicos, etc. La cuestión en este caso es leer, leer y leer.
• Colabora con o crea un blog de seguridad. Como fundador de este blog hace ya siete años y pico, creo que este es un punto imprescindible para introducirse en el sector. La ciberseguridad te interesa, así que no te debería ser difícil hablar sobre tus opiniones, experimentos, herramientas, análisis, foros de seguridad a los que asistas, críticas, geopolítica internacional y APTs, informes que hayas leído, etc. La cuestión es tener algo que sirva de carta de presentación. Una cosa que no me canso de recordar: aunque no seas el primero en escribir sobre algo, no pasa nada.
• Fórmate (esto ya lo habrás oído por activa y por pasiva, te quieras dedicar a seguridad o cría de ranas). Aquí volvemos sobre la cantidad de recursos disponibles que hay hoy en día: busca formación en la rama en la que quieras desarrollarte, con certificado o sin él, presencial u online. CISAs, CCNAs, SANS. Haz algún master. Si no tienes recursos, muchos CERTs tienen cursos gratuitos e iniciativas como Coursera tienen cursos de muy alto nivel gratuitos (aunque desgraciadamente muchos en inglés). Sé autodidacta y ya sabes, si tu economía no te permite tener un certificado, un blog es un buen lugar para demostrar lo que sabes.
• Inglés. Ya sabes, lo típico. Al menos lo necesitarás para poder leer un informe de un APT ruso publicado por Symantec. Es cierto que saber iraní, chino o ruso te puede ayudar con los APTs, pero empieza por lo fácil. Ya sabemos que hoy en día, APTs hace todo el mundo.
• Colabora con la comunidad. Participa en algún proyecto; desarrolla o colabora en el desarrollo de alguna herramienta. No es necesario que piques código si no te sientes capaz de “meterle mano” a algo: traduce, elabora un manual, haz de beta tester. Github, ya sabes. Véase blog. En definitiva: pon en marcha cosas.
• Aprende a escribir. En serio, esta es una cruzada personal. Gramática, ortografía, sintaxis. No hace falta que ganes el Nobel, pero tienes que conseguir que los clientes te entiendan. Sí, las aplicaciones de ofimática te ayudarán con la ortografía y detectarán algunos problemas de concordancia, pero te hará falta algo más. Evidentemente, si te vas a meter en consultoría, qué te voy a contar. En definitiva: si no pretendes trabajar en un sótano picando código para alguna potencia internacional maligna, lo más probable es que tarde o temprano tengas que escribir un informe. Ah. El blog es otro buen recurso para practicar esto.
• Aprende a utilizar las herramientas de ofimática. Esta es mi segunda cruzada personal. En serio. No vas a poder entregar informes con el vi o en su versión borderline el notepad, ni aunque estén escritos en hexadecimal. Los clientes tampoco acostumbran a aceptar que les mandes los fuentes de LaTeX para que ellos se generen el PDF. Soy el primero que reconoce que en ciertos casos formatear un documento de cierta magnitud puede convertirse en un infierno, pero es lo que hay. Mi recomendación es que aprendas a utilizar cosas básicas como el interlineado, interpárrafo, los tipos de letra, las tablas, incrustar una gráfica, los márgenes. El powerpoint. Cosas así, ya sabes.
• Desarrolla tus dotes de comunicación. No hace falta que seas Eduardo Punset, pero es bueno que sepas comunicar lo que tienes en la cabeza y que con el tiempo trates de mejorar tus habilidades por si necesitas dirigirte a un conjunto de personas. Reconozco que esto puede ser complicado o prácticamente imposible para algunas personas con pánico a hablar en público. En esos casos… suerte, paciencia y resignación.
• Ejercita tu mano izquierda y tu paciencia. Yo hace tiempo que aprendí esto a fuerza de golpes (que suele ser la principal manera de aprenderlo). Por mucha suerte que tengas, a lo largo de tu carrera te encontrarás en algún momento con entornos laborales o equipos de trabajo poco amigables, clientes descontentos, competidores, compañeros poco amistosos, personas directamente groseras, y tendrás que defender tus posiciones frente a personas que tienen más poder que tú. Sin que eso implique renunciar a la asertividad, tendrás que aprender a agachar la cabeza cuando toque (la seguridad esta al servicio del negocio, no al revés), ser cordial aunque quieras arrancarle la cabeza a alguien, y sonreír aunque estés deseando matar a esa persona. Seguro que lo has practicado alguna vez en reuniones familiares, así que no debería ser tan difícil.
• Ejercita el pensamiento lateral. Yo no sé cómo se hace esto, pero seguro que Google sí. Intenta ser imaginativo y creativo, y si no lo eres, trata de desarrollar esa cualidad. Aunque no esté relacionado con la seguridad, da igual.

Hay muchas maneras de entrar en seguridad, y no todas son como pentester (pero también). Hacen falta administradores de bases de datos que sepan bastionar un Oracle y conozcan el concepto de SQL Injection. Programadores que sepan lo que es un XSS y estén familiarizados con el OWASP TOP-10. Administradores de redes que proporcionen soluciones de conectividad remota segura y se preocupen de segmentar la red. Consultores que desarrollen normativas y procedimientos y los implanten (a pesar, a menudo, del propio usuario). Comunicadores que ayuden a concienciar al usuario final, origen de muchos de los problemas de la seguridad actual. Ingenieros industriales que conozcan los procesos y el funcionamiento de las infraestructuras industriales. Entre otros.

En definitiva, si te gusta la ciberseguridad, sólo necesitas INICIATIVA. Por suerte, en este campo trabajo hay de sobra.

PS: Al acabar la charla, una persona me preguntó cómo empezar en este campo si únicamente tenía conocimientos de usuario final y ofimática. Aunque una respuesta a algo así requiere un análisis un poco más detallado de las capacidades y conocimientos de cada persona, mi recomendación en estos casos es empezar por cursos —generalmente gratuitos o bastante asequibles— de introducción a los sistemas operativos, para luego entrar en cursos más avanzados. También existe la opción de hacer un módulo de FP que proporcione, de la manera más práctica posible, las bases necesarias en relación con el funcionamiento de los sistemas operativos, las redes y los lenguajes de programación.

A partir de ahí, yo optaría por instalar un Linux (principalmente porque es gratuito, hay infinidad de recursos en la red, es sobre el que trabajan muchas aplicaciones de seguridad y es bastante transparente en su funcionamiento por lo que es fácil aplicar conceptos de manera práctica) y con un manual empezar a “trastear” con él. Cuando se haya llegado a una cierta comodidad, entonces será el momento de pasar a aspectos específicamente relacionados con la seguridad. No es un camino tan largo como parece, aunque eso depende de cada persona.

Hace ya demasiado tiempo pasé cerca de un año en el Georgia Institute of Technology de Atlanta, continuando con mis estudios universitarios. Al poco tiempo de llegar, el que debía ser el responsable de seguridad nos dio una charla en la que se congratulaba por el hecho de que Atlanta ya no fuese la ciudad más peligrosa de EEUU, sino la segunda (hablamos aproximadamente de 1999). Además advertía, haciendo énfasis en los más jóvenes, que tuviesen cuidado con las ilusiones de inmortalidad propias de la adolescencia, evitasen riesgos innecesarios y adoptasen ciertas medidas de seguridad.

Tengo la sensación de que ese tipo de fantasía se aplica de manera muy adecuada a la mayoría de empresas. En general, el pensamiento que todavía impera en muchas organizaciones es el que ya conocemos: eso no nos puede pasar a nosotros. El equivalente es el que se sube al coche pensando que los accidentes le pasan a todo el mundo menos a él y prescinde del cinturón de seguridad y de cualquier límite de velocidad “razonable”.

Sin embargo, hay dos hechos innegables. El primero es que los accidentes siguen ocurriendo. Afortunadamente, son cada vez menos y pocas veces son graves, pero ahí están las estadísticas. El segundo, que los accidentes descienden gracias a las medidas de seguridad que se van diseñando e implantando y no por intervención divina: cinturón de seguridad, airbags, control de tracción, ABS, control de estabilidad, carroceria deformable, habitáculo rígido, etc., además de las diferentes campañas de sensibilización y concienciación.

La cuestión es que muchas empresas están todavía en la adolescencia de la era digital. Esa en la que piensan que hagan lo que hagan, el peligro no existe: que el cifrado es propio de los paranoicos, que Alfredo1976 es una contraseña válida, que el comedor es un lugar tan bueno como otro para el servidor corporativo o que la destrucción de papel no es, en fin, algo tan imprescindible.

Poco a poco, algunas de éstas madurarán y entenderán que los riesgos son reales; implantarán controles de seguridad y asumirán no sólo que a veces sí pasan cosas, sino que es necesario aplicar medidas para que no pasen. Que, tal y como sucede con la conducción, están expuestos no sólo a atacantes sino a empresas que no toman esas medidas de seguridad (aspecto que nos da para otra entrada: la necesidad de entender que tu inseguridad les afecta a los demás). Otras empresas acabarán aprendiendo a base de golpes y por último —y aquí vamos a dejar de lado el símil por razones evidentes—, algunas tendrán que echar el cierre.

¿Garantiza un automóvil en buen estado, con las medidas de seguridad básicas y una conducción responsable que no tengamos accidentes? No, por desgracia. Pero sí los hace mucho menos probables y reduce significativamente sus consecuencias. Lo mismo sucede con la seguridad digital.

Quizá esta entrada les haya parecido poco útil. Si es así, piensen en las campañas de concienciación de la DGT. ¿De verdad piensan que no sirven de nada?

Hoy os presentamos pwnConf, una conferencia de carácter 100% técnico que se realiza el día 23 de Noviembre en la ciudad de Mar del Plata y que reunirá investigaciones de profesionales de distintas partes del país.

Entre las principales temáticas que que se tratarán en el evento se encuentra la Seguridad Informática, contando también con gran cantidad de charlas orientadas con perfil de SysAdmin/DevOps y Networking. Todas las charlas incluyen un altísimo nivel de vanguardia tecnológica, que se puede vislumbrar fácilmente en charlas con temáticas tan variadas y actuales como Big Data, Privacidad en Internet, NoSQL, Cloud Computing, Clustering y Desarrollo de Librerías.

Además de su carácter de conferencia tradicional —con ponentes con charlas de 40 minutos de duración— el evento también tendrá un acentuado perfil de desconferencia, en donde los asistentes podrán anotarse libremente para dar lightning talks de 10 minutos de duración con absoluta libertad sobre las temáticas a tratar.

En el sitio oficial de pwnConf podéis encontrar el cronograma completo de charlas, así como también la lista de ponentes y el correspondiente enlace al registro, que si bien es 100% libre y gratuito, está limitado a la capacidad física del lugar.

El fin último de pwnConf es brindar un entorno en donde intercambiar conocimientos, compartiendo experiencias con amigos y colegas en un ambiente descontracturado e ideal para el aprendizaje.

La conferencia está orientada principalmente a estudiantes de carreras afines a la informática, profesionales, empresas, entusiastas e investigadores. Podéis tener toda la información disponible en pwnconf.org

Hace unos días, a propósito de la llamada de unos técnicos falsos de Microsoft, nuestro compañero Raúl advertía sobre la necesidad de concienciar a los usuarios, tanto personales como profesionales (cada uno tiene una cosa que perder) en los aspectos más de seguridad. Como este es, en general, un blog del ámbito profesional, me permitirá que abandone a los usuarios domésticos a su suerte o a la de su primo informático, y nosotros nos quedemos en el entorno corporativo, que es el que nos atañe.

La cuestión es que la entrada de Raúl me trajo a la memoria una serie de medidas que, allá por el 2007, propusimos en este blog como contrapartida a la concienciación. Es más, como le indicaba en aquel caso, puedo garantizar que con la aplicación gradual de todas ellas podemos reducir prácticamente en un 100% cualquier tipo de fuga de información o problema de seguridad, sin invertir un euro en concienciación. Eso sí, le advierto que el camino no es sencillo.

La primera medida es, como no podría ser de otra manera, inhibir cualquier medio de extracción de información mediante dispositivos o soportes de almacenamiento. Será necesario por tanto inhabilitar los puertos USB, además de desinstalar cualquier grabadora de CD o DVD. Por experiencia le diré que tendrá que lidiar con las quejas de algunos usuarios reticentes a cambiar sus hábitos, pero a la larga el beneficio compensa la molestia. Son, cómo decirlo, esas pequeñas molestias que te hacen el día diferente; pequeños contratiempos sin mayor importancia. Se acabaron al fin los virus que nos llegan por ese USB que vaya a saber usted dónde ha estado antes.

La segunda medida lógica en este proceso es cortar el correo electrónico. Así, de raíz. Porque todo el mundo sabe que no hay mayor peligro que el e-mail. Potencialmente, cualquier empleado malintencionado o un equipo controlado remotamente podría estar utilizando este sistema para mandar información confidencial a cuentas privadas, a potencias asiáticas, a la competencia o incluso a su primo el informático. Además, de esta forma acaba usted de un plumazo con las herencias africanas, las validaciones de seguridad bancaria de bancos en los que no tiene cuenta y las fotografías subidas de tono de la celebrity de moda en formato ejecutable. Así que corte el grifo. No email, no risks.

Ya nos hemos ahorrado muchos problemas, pero no podemos cejar en nuestro proceso de bastionado corporativo. La tercera medida es eliminar el acceso a Internet. No sólo evitaremos el acceso a webmails gratuitos, que son un potencial peligro, sino que evitaremos que un empleado malintencionado o un potencial atacante utilice alguna alternativa como el ftp, ssh o servicios cloud para extraer información. Esta medida también carece de complejidad: Deny ALL from ALL. O puede simplemente arrancar el cable o apagar el router de salida. Es así de simple. Se acabaron los ataques de denegación de servicio, los escaneos de red y cualquier cosa que se le ocurra. Internet ya no sabe que usted existe, ergo no le puede atacar. En este caso las quejas serán algo más enérgicas, especialmente cuando el personal de Administración no pueda conectar a la banca electrónica para realizar las transferencias de las nóminas. Sin embargo, dígales que para eso están los cibercafés. Nuestro objetivo es, ante todo, proteger la información corporativa, no las nóminas del personal.

Seguimos. Si piensa usted que cerrando los USB, el acceso a Internet y el e-mail está a salvo de la fuga de información, está muy equivocado. La cuarta medida es la eliminación de cualquier fax, teléfono, tablet, cámara y dispositivo de cualquier tipo que permita registrar, grabar, transmitir, anotar, fotografiar, enviar o extraer información interna, de cualquier manera. Sí, será necesario que confisque los teléfonos móviles de los empleados y cualquier visitante: clientes, auditores, políticos o hijos de los empleados, si se da el caso. Somos conscientes de que eso puede generar algún ligero malestar entre el personal, pero nada que la promesa de una organización más segura no pueda compensar. Al fin, ya no hemos de preocuparnos de que la información salga por vía telemática, telefónica, electrónica o cualquier otro medio. Estamos llegando (casi) al final.

La quinta medida es eliminar las impresoras y cualquier tipo de material en el que y con el que se pueda escribir, copiar, dibujar, etc.: lápices, bolígrafos, folios, libretas, etc. Nunca podemos estar seguros de que alguien no va a copiar a mano, sin ninguna mala intención, un diseño del último transatlántico que su empresa está fabricando o el listado de nombres y apellidos de los dos mil empleados, y va a acabar perdiendo la hoja con esa información en el metro. Todos sabemos que hay gente muy rara por el mundo, y como suele decirse, mejor prevenir que curar. Por supuesto, deberá cortar el correo postal. De salida, porque no tiene sentido, y de entrada, porque seguro que ha oído lo del Anthrax, ¿verdad? Pues eso.

La sexta (y penúltima) medida viene prácticamente derivada de las dos anteriores. Le hemos aconsejado que prohíba los dispositivos de grabación como los smartphones, y se deshaga de los lápices. Pero, ¿cómo estar seguro de que esa medida se cumple? Piense que un competidor disfrazado de hijo de empleado podría entrar con un móvil en el bolsillo. Pues para evitarlo, es necesario que en el acceso a nuestra organización pongamos dos guardias de seguridad para llevar a cabo cacheos exhaustivos del personal (a la entrada y a la salida, por si quedan dudas). Si además instala los sistemas de seguridad que se utilizan en los aeropuertos estadounidenses, mejor que mejor. Así, hemos llegado casi al final de nuestro recetario de seguridad.

La séptima (y última) medida está relacionada, como no podría ser de otra manera, con las personas que se mueven por su organización. De nuevo, empleados, visitantes, clientes, etc. Si no estaba al tanto, debe saber que cualquiera de ellos está capacitado para memorizar información en su propia cabeza (sí, está demostrado), que luego podría difundir. Por razones que no vienen al caso, no podemos aconsejarle que impida la salida de las personas de su empresa una vez han entrado, ni que tome acciones más “expeditivas”, así que dado que esa no es una opción, debe impedir bajo cualquier concepto que cualquier persona tenga cualquier tipo de acceso a la información. Ya sabe: cualquier persona a cualquier tipo de información. Es decir, no deje que nadie, nunca, de ningún modo, acceda a su organización.

Con estas sencillas y útiles medidas comprobará que, sin invertir lo más mínimo en concienciación, su empresa está totalmente a salvo de cualquier problema de seguridad de la información y por extensión, de cualquier otro tipo.