¿Cuál es el Sistema Operativo más seguro?

Ser o no ser... o lo que es peor; dejar de ser. Eterna pregunta en el último decenio, ¿Verdad?. Y es que cuándo no tomando el café en los rellanos de la oficina hemos contemplado verdaderas luchas entre los pingüinillos y los winderos discutiendo si esto rinde más, o rinde menos. Es más o menos caro. O la eterna afirmación de que Linux es más seguro que Windows.

Cometemos el error siempre de quedarnos en lo genérico, en el ruido mediático y, a veces, en la ignorancia convenida. Es como cuando siendo niño afirmábamos que nuestro padre era el más fuerte y nuestro tío policía. Este breve post os dará un punto de vista más allá de lo técnico.

Basándome en mi experiencia desde técnico a ingeniero de sistemas y posteriormente como Director de Sistemas he aprendido que el ciclo de vida de los sistemas es muy similar a lo que nos sucede en la vida real. Quiero decir que la experiencias son extrapolables y me explico. Si percibes que estás en peligro la tendencia natural es protegerte y tomar medidas que te permitan estar seguro. Y si en cualquier caso eres atacado e incluso consiguen de algún modo afectar la integridad de tus sistemas (sean sistemas servidor, comunicaciones, etc) serás capaz de reaccionar más rápido y de un modo más preciso al problema de seguridad. Evitando por tanto el desastre, la mala imágen, el enfado del usuario, el sobrecoste, las horas de tu gente y tú mismo arreglando el descosido.

Yo no quiero decir que el sistema A sea más seguro que el B. Pero creo que todos estamos de acuerdo en que los sistemas de Microsoft son el objetivo principal de la mayoría de los hackers.

Cabe también tener en cuenta que en la actualidad las técnicas de hacking no se basan en un ataque directo al sistema, sino que se aprovechan de vulnerabilidades en software cliente, software de terceros. Incluso muchas de las técnicas realmente no aprovechan realmente ninguna vulnerabilidad y más cuando el usuario instala algo y ni se entera de lo que pasa por detrás.

Por tanto la seguridad es relativa, y por supuesto la seguridad no es lo mismo en un entorno cliente que en un entorno servidor. Y es tan relativa como lo que voy a afirmar a continuación: "Los problemas en seguridad no son aquellas vulnerabilidades conocidas, sino aquellas que no conocemos o nunca conoceremos". Yo que he trabajado como responsable de seguridad en áreas concretas siempre he mantenido que hay que cubrirse de todo lo conocido y a la hora de diseñar un servicio comenzar de cerrado e ir abriendo cuando sea estrictamente necesario manteniendo siempre la trazabilidad a través de la gestión de cambios.

Uno de los factores importantes para una buena gestión de la seguridad es lograr coordinación e integración de las distintas capas ya que la complejidad es proporcional a las siguientes capas: Física, HW, SW, Apps, SVCs, Red, etc.... por tanto es necesariamente estricto tratar de integrar estas capas en la gestión de la seguridad. No vamos a ponernos ahora a hablar de sistmas de seguridad, IDS, correlación de eventos, health-checking, etc. pero se debe valorar su uso, sobr todo en infraestructuras extensas y complejas.

Por otro lado es muy difícil convencer a un CFO de la justificación de esos costes invisibles e intangibles (intangibles hasta que sucede algo). Por eso es bueno y necesario mantener un enfoque al servicio y al negocio a la hora de gestionar la IT en este y otros ámbitos. Comunicar bien en los Comités de Dirección es esencial para logra el apoyo del CEO y de las otras áreas. Por otro lado el coste de gestión de la seguridad desde mi punto de vista debería incluirse en el coste de operación como uno más. Eso sí capitalizándolo cuando sea necesario.

Por tanto, para mi, el sistema más seguro es aquel gestionado por las personas adecuadas. Muchas empresas descuidan la cualificación del personal por el coste y hay cosas que no se aprenden, hay cosas que merecen el precio que tienen. La propiedad/responsabilidad de lo que se tiene entre manos, el conocimiento, la actitud y automotivación son esenciales para una buena gestión diaria de la seguridad.

Saludos en este viernes soleado (casi es verano).