Inmediatamente después de escuchar la pregunta, ¿cuál es el sistema operativo más seguro?, florecen las posturas. Los más aguerridos son los pingüinos, que defienden su posición ante el embate de las tropas de las manzanas y la tenue voz de las ventanas. Con mucho entusiasmo hablan precisamente las manzanas, y apresurados argumentan por qué su sistema es el más seguro. Los argumentos son derramados uno tras otro, sin parar. Las voces empiezan a subir de tono. Deja de ser una discusión razonable y da lugar a la rabia. Justo en ese momento entra la voz de Unix: “Tranquilos muchachos. No peleen. Esos ni plataformas empresariales son. Todos sabemos que Unix es el más seguro y lo seguirá siendo hasta el fin del tiempo”.

Lejos de calmar los ánimos, esta participación acaba por verter más gasolina en el fuego. “Las Mac ni antivirus necesitan”. “Linux nace seguro”. “¿Dónde están los virus para Unix? Las vulnerabilidades anuales de Unix son, por mucho, inferiores al resto de plataformas”. “El costo de debilidades de Linux es altísimo en el underground, el mejor indicador de que son escasas y muy valoradas… te habla de la seguridad del sistema operativo”. Todos hemos escuchado este tipo de argumentos, algunos sin sustento. Y lo hemos escuchado de todo tipo de plataformas, aquí solo ejemplifiqué algunas de ellas.

En medio del calor, surge una tímida voz perdida al final del cuarto. Es el defensor de las ventanas: “Windows puede ser seguro si lo sabes endurecer, y si lo operas con seguridad en mente”. La aseveración cae como bomba atómica. Primero, las risas son incontenibles y concluyen en carcajada. “¿¡Windows seguro?!”. Pasa el momento divertido y nace la cólera cuando ven que lo dice en serio: “¿Cómo te atreves a decir eso? Windows es el sistema operativo más inseguro de la historia. El 99% de los ataques viven de esa plataforma. Los virus y debilidades son incontables ya. Usuarios finales y empresas sufren brechas cibernéticas por culpa de ese sistema. El mundo sería otro sin la existencia de las ventanas”. Los pingüinos, las manzanas y hasta el mundo Unix ahora están unidos por una causa común: despedazar los argumentos del defensor de las ventanas.

Me temo que, desde el punto de vista de seguridad informática, la postura es que, si un sistema operativo está bien configurado y administrado, entonces es seguro. ¿Hasta un Windows? Sí.

A lo que me refiero con una adecuada configuración es, por ejemplo:

  • Servicios innecesarios deshabilitados.
  • Política local de seguridad configurada desde el punto de vista de seguridad.
  • Puertos de red abiertos solo si son requeridos.
  • Aplicaciones instaladas necesarias, etc.

Y a lo que me refiero con que esté bien administrado, es que la persona que lo maneja tenga su seguridad en mente en el día a día y tome decisiones de administración basadas en no reducir la seguridad del sistema. Lo anterior también lo podemos resumir de otra manera: no dejemos que la tiranía del default nos rija. Es decir, no permitamos que el fabricante nos imponga su configuración. Porque es un hecho que está orientada a la comodidad de usuarios y administradores, pero no a la seguridad del sistema.

Cuando un área desea poner un proyecto en marcha y tiene la duda sobre la seguridad del sistema operativo seleccionado, entonces piden la postura de seguridad informática. En mi opinión, la labor de seguridad no es prohibir un sistema operativo si es que cumple con las necesidades del negocio. La labor de seguridad es ser un habilitador y la postura debe de ser “está bien usarlo, pero bajo estas circunstancias y condiciones de administración y configuración”. Un Windows bien configurado y operado, desde el punto de vista de seguridad, es más seguro que un Linux mal configurado y administrado.

Tengo claro que las vulnerabilidades en Windows son abundantes y muchos de los ataques perpetrados son en esta plataforma. También concordaría que un Unix o Linux bien configurado y administrado tiene ventajas de seguridad sobre un Windows también bien configurado y administrado. Si bien podemos expresar lo anterior y ver qué opinan los del negocio, si la empresa necesita que para este proyecto o servicio exista Windows, no hay más qué hacer. Pienso que la posición de seguridad no debe de reflejar pasiones, ni mucho menos posiciones personales que reflejen aberración hacia una plataforma. Otra vez: El área de seguridad debe orientarse hacia ser un habilitador y tener mucho cuidado cuando prohíbe una tecnología o una plataforma porque es “insegura”. ¿En serio lo es?

Fuente: SearchDataCenter