Archivos de Categoría: Seguridad

¿Qué sabe la RAE de hackers?

Emblema hacker

Nunca pensé que fuera a escribir un apunte en el blog tratando de enmendarle la plana a la RAE sobre la definición de una palabra.

Siempre pensé que la RAE hacía, al menos, algún estudio etimológico medianamente serio de las nuevas palabras que añadían al diccionario antes de hacerlo.

Nunca pensé que volverían a repetir las barbaridades de antaño, demostrando una ignorancia total del mundo tecnológico. Hace años ya se lucieron nuestros académicos con ejemplos como el de cederrón

Hoy nuestros académicos me han vuelto a dejar con la boca abierta.

Por un lado han aceptado la palabra “Hacker” y por otro, han demostrado que ni se leyeron la página del término en la Wikipedia, acusando de pirata informático a miles de hackers.

Una sola acepción, la de pirata informático, sin más. Dejando fuera el significado real de la palabra hacker.

Señores académicos: un hacker es mucho más que un pirata informático. La palabra que buscaban era cracker.

Déjenme recomendarles otra página de la Wikipedia, por no irnos a sitios raros. Lean la página de la ética hacker a ver si les parece la ética del pirata informático.

Me parece un gran atrevimiento el proponer una definición de la palabra hacker. Es una palabra con gran significado para muchos y muy lejos del simple y burdo pirata informatico pero, si me permiten ¿qué les parecería algo así?

Persona apasionada y, generalmente, con gran conocimiento sobre un tema.

Simple y concreto pero amplio, sin dejar a nadie fuera. Sin limitarnos a la seguridad informática, ni al software libre, ni a la electrónica, ni a la ingenieria, ni a las matemáticas, ni a la economía, ni a la medicina, ni al cine, … porque en todas las disciplinas existen hackers.

Señores academicos, entre sus sillones se encuentran algunos de los mejores hackers de las palabras de España. No me creo que no sean capaces de hacerlo mejor.

Un hacker.

Sistema de escuchas telefónicas

Tenía este apunte en la recámara desde hace tiempo y entre unas cosas y otras ahí estaba… El tema ya no es de actualidad pero os dejo el apunte:

Parece que está de moda hablar del sistema del gobierno para hacer escuchas a la telefonía móvil (SITEL).

Es un poco ingenuo pensar que hasta ahora no era posible escuchar o acceder a las conversaciones telefónicas desde equipos del gobierno con la ayuda de las operadoras… porque sin ellas no seria posible, supongo que en eso estamos todos de acuerdo.

El problema no es hacer un seguimiento en particular o escuchar y grabar lo que dice fulanito… eso es fácil y me da que está resuelto desde hace tiempo, el problema es procesar toda la información interesante que hay en el ruido de todas las conversaciones. El problema es la inteligencia, el obtener información útil de la fuente, de todo el ruido que es la telefonía móvil.

Realmente a nadie le importa, o no se puede sacar mucha información útil de lo que yo pueda estar diciendo por teléfono cuando hablo con un amigo o un familiar en una conversación estrictamente privada… Otro caso es si hablara de determinados temas más o menos sensibles, temas que pudieran afectar a la seguridad nacional…

¿Cómo saben los señores del gobierno que al que tienen que escuchar es a mi? ¿Cómo saben cuando hay que escucharme? Ese es el problema.

Los recursos son limitados y, aunque consigan grabar TODAS las conversaciones que se producen en un día… ¿Van a poder analizarlas todas? Eso es más difícil, hay que decidir a quien se escucha y/o hacer muestreos más o menos aleatorios con la esperanza de pescar a alguien.

La otra cara de la moneda.

Las personas que tienen cosas que el gobierno puede querer escuchar deberían saberlo y me da a mi que lo saben, y si lo saben, probablemente tomen las medidas oportunas para que no sea posible (o al menos no sea sencillo) que se intercepten sus comunicaciones.

Por ejemplo, existen móviles con chips criptográficos (hardware) que cifran las comunicaciones extremo a extremo… algo así como encapsular la conversación de voz en un tunel, como haríamos con los datos si usamos un tunel SSH.

Esos móviles pueden ser caros y no se pueden conseguir con puntos en tu operadora favorita. Muchas veces están controlados y, aunque tuvieras el dinero, no están a la venta.

De nuevo… la gente que tiene miedo de que el gobierno pueda estar detrás de ellos probablemente tengan el dinero y los contactos para acceder a esos teléfonos con criptografía.

Como resumen… esos sistemas de escucha que usa el gobierno no valen para escuchar a los que realmente no quieren ser escuchados… solo sirven para escuchar a los particulares o delincuentes sin medios que no pueden acceder a esos terminales con criptografía para cifrar las conversaciones… o a los que, teniendo cosas que esconder no son conscientes del riesgo.

¿Qué podemos hacer los particulares que queremos tener más tranquilidad de que no se interceptan nuestras conversaciones y, lamentablemente también los delincuentes?

Hoy en día tenemos teléfonos con potencia suficiente como para cifrar/descifrar por software las conversaciones telefónicas. A día de hoy podemos hacer llamadas mediante un smartphone que cifre la voz antes de enviarla a nuestro interlocutor que la descifrará y nos devolverá cifrada la respuesta de una forma confidencial.

Criptografía (¿simétrica?) lo suficientemente ligera como para poderla hacer en tiempo real con un teléfono más o menos normal y lo suicientemente robusta como para dificultar la escucha.

A ver si me doy una vuelta por la Internet y busco algún programa de esos… :-)

Formacion CAM en seguridad

Esto es lo que dice un anuncio de los planes de formación de la CAM: “Entra Carmen, aficionada a Internet, hace un curso y sale Carmen, técnico de seguridad.”

Supongo que es lo que piensan de los técnicos de seguridad.

Un curso y listo :-(

Es lo que hay… Luego te cruzas con supuestos profesionales que no saben de lo que hablan, que no conocen ni lo más básico, que no entienden los problemas a los que se enfrentan, que toman decisiones sin razonar antes, …

No hace falta que funcione bien, con que parezca que funciona es suficiente.

Es lo que hay, o mejor, lo que no hay: profesionalidad y claro, luego pasa lo que pasa.

Análisis de riesgos, terrorismo y teléfonos móviles

La seguridad no es un producto, es un proceso” es una de las frases típicas de la seguridad y significa que no puedes comprar un producto, realizar una acción y olvidarte. Cualquier vendedor que te diga lo contrario miente o no sabe de lo que habla.

La seguridad es un proceso continuo que debe estar basado en un análisis de riesgos, en el que se identifiquen primero los activos y después los riesgos asociados a esos activos para luego poder definir las medidas de seguridad que mitiguen o anulen esos riesgos de una forma eficiente.

En esos análisis de riesgos, identifican las amenazas a los que sus activos están sometidos y, en función de la probabilidad de ocurrencia y el daño potencial se calcula el riesgo para el cual se definen unas contramedidas…

En la definición de las contramedidas entra ya el factor económico… no podemos definir unas medidas de protección que nos cuesten más de lo que nos costaría recuperarnos de la materialización de la amenaza.

En pocas palabras… ¿Tendría sentido pagar por el seguro de un coche valorado en 10.000€ unos 20.000 euros anuales?

Eso no es todo. Empezaba diciendo que la seguridad es un proceso. No podemos establecer nuestras contramedidas y olvidarnos.

Las amenazas cambian, evolucionan, aparecen amenazas nuevas y con ello las contramedidas se inutilizan y el nivel de riesgo vuelve a incrementarse… por lo que se hace necesario un nuevo análisis de riesgos y… “GOTO 10″. ;-)

Quiero pensar que las agencias de seguridad nacional de los distintos estados realizan sus análisis de riesgos y que uno de sus principales activos (yo diría que el activo principal, pero nunca se sabe) somos los ciudadanos, los civiles, el pueblo. Después se establecen las medidas de seguridad más apropiadas que se pagan con los impuestos.

Pues todo lo anterior es lo que me vino ayer a la cabeza.

En Madrid sufrimos hace unos años el ataque terrorista del 11 de marzo, en Nueva York el 11 de septiembre unos años antes y algo después el del 5 de junio en Londres.

El ataque de Madrid puso sobre la mesa unos nuevos riesgos… el que unos malnacidos decidieran volar unos trenes llenos de civiles inocentes utilizando unos teléfonos móviles, además este ataque estaba asociado a los ataques del 11S de Nueva York y el de Londres.

Supongo que el análisis de riesgos posterior dijo que el riesgo era muy alto: la probabilidad de que vuelva a ocurrir es muy baja (o al menos eso espero) pero el daño en caso de materialización de la amenaza es altísimo y un país no se lo puede permitir.

Así que el siguiente punto es establecer las medidas de protección para eliminar o al menos mitigar esos riesgos: controles exhaustivos en los aeropuertos en busca de armas, bombas, nuevos pasaportes con datos biométricos … la tontería medida de no poder pasar líquidos en los aviones, … y la última tontería medida que es lo que me ha empujado a escribir esto, el que no puedan existir teléfonos móviles “anónimos”.

Creo que es a principios de noviembre cuando teóricamente se desconectarán las líneas de teléfono que no estén identificadas, incluidos los teléfonos de prepago.

Supongo que si viviéramos en un mundo perfecto, donde los delincuentes cumplieran las normas, esta medida podría tener algún efecto… se están identificando las líneas de teléfono pero lo que los terroristas modificaron fueron los terminales… puedes ponerle la SIM que te dé la gana a tu terminal-detonador y robar una SIM 10 minutos antes de hacer explotar lo que sea desde… ¿una cabina de teléfonos? ¿otro teléfono robado? y de nuevo el infierno.
Además… eso es suponiendo que a los malos no se les ocurre otra forma de hacer detonar una bomba…

Vamos que dudo yo mucho de la eficacia de esa medida, como la de los controles de los aviones.

Ayer, cuando fui a pagar la gasolina, en el mostrador de la gasolinera había unas cajas que no había visto yo nunca… parecían unos teléfonos móviles de juguete… pero por otro lado me daba la impresión de ser teléfonos de verdad… así que pregunté: “¿Esto qué es?”

Sí, la noticia es vieja, estos teléfonos existen desde junio pero yo no lo había visto antes. BIC (la marca de los bolígrafos y los mecheros) vende ahora, de la mano de Orange, unos teléfonos móviles desechables (que valen 30€ y vienen con 12€ de saldo). Lo primero que me vino a la cabeza fue el tema de la identificación de los usuarios y demás… así que pregunté: “¿Si me llevo un teléfono de estos… hace falta que me identifique?” y lo sorprendente fue la respuesta del personal de la gasolinera que me dijeron una y otra vez que no, incluso cuando les comenté la medida que obliga a la identificación de las líneas… no.

Puedes llevarte un kit de esos, pagar en efectivo y… bueno, las maldades que cada uno piense las suyas.

Es cierto que aun no estamos en noviembre… a lo mejor Orange te vende este número y luego no te lo deja usar… a lo mejor, pero a lo mejor no… empieza a ser el momento de revisar el análisis de riesgos o comprobar la eficacia de las medidas que tenemos establecidas.

¿Vuelve el ping de la muerte?

El lunes se publicó una vulnerabilidad seria de Windows. Lo hizo Laurent Gaffié desde su blog al más puro estilo full disclosure, con exploit y todo, ahí es nada.

No se si habrá avisado o no a Microsoft antes de este disclosure pero quiero pensar que los ingenieros de Microsoft están ahora asustados, tratando de solucionar el problema cuanto antes y que en unos días publicarán un parche fuera de ciclo.

A mi, este problema me recuerda mucho al Ping de la Muerte de hace unos años. El PoD fue una vulnerabilidad que permitía que, mediante un paquete ping MUY largo, las máquinas se bloquearan y hubiera que reiniciarlas.

En aquellos días, mucho script kiddie del que pululaba por Internet se dedicaba a barrer la red en busca de máquinas vulnerables para tirarlas…

Recuerdo que yo tenía una máquina con Debian con el firewall de, no recuerdo exactamente si ipchains o iptables pero supongo que ipchains, por la fecha y un script que monitorizaba los logs continuamente en busca de evidencias de un ataque de “ping de la muerte”… cuando detectaba que una máquina me estaba atacando, le devolvía el ataque…

Era gracioso ver como las máquinas atacantes eran vulnerables a su propia medicina! :-)

Esta vulnerabilidad es algo distinta, no se trata de ICMP sino esta vez se trata del SMB así que requiere que se tenga el SMB activo.

En el blog de 48bits tienen un artículo muy interesante que explica con un poco más de detalle y en español este nuevo problema.

Por suerte es un problema del SMB y utiliza los puertos 445/TCP y 139/TCP los típicos puertos Microsoft que ya están deberían estar bloqueados en la mayoría de los firewalls de Internet así que la exposición de las máquinas vulnerables en Internet debería ser bajo.

Según la gente de 48bits no se trata únicamente de un ataque de denegación de servicio sino de ejecución remota de código.

El problema es mayor si se confirma la ejecución remota de código (que parece que si) porque, aunque los puertos estén bloqueados en muchos firewalls, si cuando algún programador de virus haga uso de esta vulnerabilidad… , el virus entrará en las redes corporativas como suelen entrar todos los virus: correo electrónico, tráfico web, discos USB… y una vez ha traspasada la protección perimetral, estando en la intranet corporativa, estará libre para campar a sus anchas, infectando todas las máquinas internas.

El tema anterior da para un apunte entero que si algún día tengo tiempo escribiré pero de momento las preguntas…

  • ¿Segmentáis las intranets con firewalls o con ACL en los routers?
  • ¿Cómo se deben proteger las intranets de sus propias máquinas?
  • ¿Cómo decidis cómo segmentar vuestras intranets?
  • ¿Tenéis toda la red sin segmentar?

Tendremos que estar a día y actualizar cuando salga el parche.

Actualizando los servidores desde un iPhone

Ayer se publicó una actualización de bind que resuelve una vulnerabilidad crítica que permite a un atacante causar una denegación de servicio (DoS). No solo se ha publicado la vulnerabilidad sino que, además, ya hay circulando un exploit.

Había que actualizar… y hoy era el día que le tocaba a mis servidores.

Estas actualizaciones, en Debian, suelen ser muy sencillas de llevar a cabo así que desde el sofá, iPhone en mano y con el TouchTerm me he puesto manos a la obra.


¿El resultado? En unos 4-5 minutos, incluyendo el tiempo de conectar y teclear los comandos adecuados… tenía mis dos servidores actualizados. :-)

Algunos dirán que es una frikada pero actualizar dos servidores de nombres desde el sofá a través del teléfono móvil es la mar de cómodo! :-P

Discurso de Obama

Via EDans y a través del blog de B. Schneier he conocido el discurso de Obama sobre la seguridad de la ciberinfraestructura.

Es interesante, un político, un presidente de un país hablando de Internet, de banda ancha para todos, de seguridad informática, … y de privacidad. Es curioso que el presidente de un país que siempre se ha caracterizado por cosas como CARNIVORE o ECHELON hable de privacidad… ¿no? :-)

Habla de lo importante que es la seguridad de la información, el dinero que se mueve en la red, de los riesgos y de los problemas que pueden venir si no se tiene cuidado. Habla de uno de los incidentes más importantes contra sus redes – Conficker -, de la descoordinación, de infraestructuras, de terrorismo, de Al Qaeda, e incluso de la neutralidad de la red y es más, dice textualmente:

"I remain firmly committed to net neutrality so we can keep the Internet as it should be -- open and free."

Una red abierta y libre. Haz lo que digo, no lo que hago.
Increíble… ¿Se atreverían a decir eso nuestros políticos…? bueno, mejor dicho ¿se atreverían a cumplir con sus palabras si lo dijeran?

Obama ha decidido tratar su infraestructura digital, sus redes y ordenadores como activos estratégicos, ni más ni menos. La protección de su infraestructura será una prioridad nacional… básicamente como en España o como en las empresas… prioridad número uno, la protección de la seguridad de los activos de información. La palabra budget aparece alguna que otra vez… y claro, es que hablar de seguridad, de medidas de protección sin hablar de presupuesto y dólares sería estúpido.

Pero no todo son medidas técnicas, procedimientos, la NSA y otras cosas más o menos oscuras, … habla de concienciación, de educación, de enseñar a los estudiantes, de social networking, alfabetización tecnológica, … y así es como se pueden prevenir gran parte de los problemas. Educando y concienciando a los usuarios de los sistemas de información.

Terminando, merece la pena leer el discurso, ya quisiera yo escuchar a nuestro presidente o incluso a la oposición hablando de estas cosas y en estos términos… pero no, aquí las noticias relacionadas con la neutralidad tecnológica, privacidad, Internet, … son siempre para hablar de piratería, SGAE, de prácticas abusivas, chanchullos, …

Tu sistema está comprometido, asúmelo

Como ya comenté en un apunte de hace tiempo sobre el hecho de que el enemigo puede estar dentro, los profesionales de la Seguridad de la Información empleamos mucho tiempo definiendo medidas, contramedidas, requisitos, métricas, planes, sistemas de seguridad, instalando parches, … con el objetivo de que nuestros activos no se vean comprometidos.

Se emplean cantidades ingentes de dinero (no siempre correctamente) para mantener al malo fuera de nuestros dominios…

El problema es que el atacante no siempre está fuera, puede estar ya dentro.

Se ha dicho mil y una veces… o más.

La siguiente derivada es asumir que el enemigo está dentro, que nuestra red ha sido comprometida.

Aquí es donde entran en juego los detectores de intrusión, configurados para detectar al enemigo dentro, así como análisis de logs y demás pero no pensando en cómo dejar al enemigo fuera… sino pensando qué hacer, una vez que el enemigo está dentro.

Hay muchos tipos de enemigo:

  • Un virus que impide trabajar, ataca a la disponibilidad del sistema.

  • Un virus generalista que busca robar datos personales, financieros, …
  • Un virus específicamente diseñado pensando en tu organización para robar información sensible, diseños nuevos, proyectos, …, enviado a un objetivo muy concreto y orientado.
  • Un atacante, una persona ajena que accede a tus sistemas de forma remota.
  • Un empleado, personal subcontratado que por la razón que sea se dedica a robar, alterar o destruir información, …
  • Otros, …

Las posibilidades son múltiples y como dice el artículo que menciono, destinar una pequeña parte del presupuesto a monitorizar la red y buscar intrusos, asumiendo que están dentro, es una política que los responsables de seguridad de la información de grandes organizaciones deben al menos valorar pues el riesgo es real.

¿Cómo se si mi sistema está o no comprometido? ¿Tengo que hacer una revisión activa de todos mis sistemas, elegir una muestra o simplemente esperar a que los sistemas de análisis de log y monitorización avisen de que se ha detectado una intrusión?

¿Estoy seguro de que todo mi personal es leal? ¿Me fio del 100% del personal subcontratado? ¿Se establecen los mismos controles para todo el tipo de personal?

¿Tenemos un plan de contingencia? ¿Sabemos qué hacer cuando detectemos una intrusión o que nuestro sistema se ha visto comprometido?

Especialmente en grandes redes, con cientos si no miles de servidores y miles o incluso millones de usuarios, accediendo a diferentes servicios, desde diferentes redes o incluso desde Internet, a información de diferentes grados de clasificación, … sistemas de información complejos.

¿El asumir que nuestros sistema están comprometidos es algo sensato o es sólo paranoia?

Cloud computing y seguridad en la nube

Ultimamente se está poniendo muy de moda eso del Cloud computing y mucha gente habla de la nube como si fuera el paradigma de la ciencia de la computación, el futuro más claro y brillante, la solución a nuestros problemas.

El llamado cloud computing sin ser algo absolutamente nuevo (pues llevamos AÑOS usando webmails como los de Yahoo o GMail) está evolucionando y cada vez aparecen más y más servicios basados en “la nube“.

En esto de la computación en la nube hay varios que están apostando fuerte:

Vamos que todos se apuntan al carro pero… ¿Qué es realmente todo esto de la nube y qué puede implicar?

La nube es Internet. La computación en la nube es la computación en Internet y eso quiere decir que todas las aplicaciones y datos que están en la nube, están en Internet, están fuera de nuestras máquinas, en las máquinas del proveedor de servicios y accedemos a ellos desde el navegador. Utilizamos el procesador de textos a través del navegador.

La información está fuera de nuestros sistemas, … está fuera de nuestro control. Así, sin más.

Evidentemente todo esto de la nube tiene cosas buenas.

  • Las empresas que venden “la nube“, venden servicios y eso para ellas es que en vez de venderte un producto, un procesador de textos, por ejemplo, te venden una subscripción a un servicio, el poder usar el procesador de textos por un año.
    Pueden reducir costes, aumentar beneficios, luchar contra la piratería, …
  • Las empresas que compran “la nube” ya no tienen que comprar productos, ahora están comprando servicios… pueden ahorrar costes, ajustar más aun los gastos a sus necesidades, pueden acceder a sus aplicaciones y datos desde cualquier punto del mundo con sólo conectarse a Internet y eso es flexibilidad, comodidad, … se evitan mantener personal de soporte para esas aplicaciones, …
    Menos gastos y más beneficios.
  • Los particulares que usan “la nube” utilizan sus aplicaciones, acceden a sus datos, correo electrónico, aplicaciones desde cualquier punto y de forma (de momento) gratuíta, algunos ahorran dinero al no tener que comprar aplicaciones, otros empiezan a usar aplicaciones sin tener que infringir licencias, …

Pero claro… no es oro todo lo que reluce y no se hasta qué punto las empresas y los particulares conocen los riesgos de “la nube”:

  • La pérdida de la confidencialidad de los datos es evidente. La información ya no está únicamente en nuestro poder sino en servidores de otra organización así que al enviar nuestra información a los servidores de esa organización le estamos dando acceso a los datos.
  • Pérdida del control de la información. Ya no hablamos únicamente de confidencialidad, que para muchas aplicaciones es más que suficiente para no poder aceptar este nuevo concepto, hablamos de pérdida absoluta de control… no podemos controlar si el proveedor de los servicios en “la nube” utiliza nuestra información, la vende, la modifica, la borra… estamos hablando incluso de una posible pérdida de la integridad de la información. Siempre podemos comprobar la integridad con algún sistema de CRC o hash.
  • ¿Cómo se lleva “la nube” con el espionaje industrial? Y… ¿con el espionaje sin más? ¿Permitirán las organizaciones gubernamentales de los países operar a los grandes proveedores de servicios de cloud computing la operación sin acceder a la información? ¿Podrán utilizarse estos servicios en la red con información sensible y/o clasificada? ¿Podrá una empresa asiática o europea utilizar los servicios de una companía (americana, por poner un ejemplo) de servicios de este tipo sin ningún tipo de preocupación porque sus datos puedan ser accedidos para lograr acceso a información sensible?

Es evidente que los proveedores de cloud computing acceden a la información de sus usuarios, no hay más que ver los anuncios contextuales que nos presentan los diferentes proveedores de correo electrónico cuando estamos usando su webmail. No es posible presentar publicidad contextual sin acceder a la información.

¿Existen soluciones?

Pues de momento no las conozco.

Habrá que investigar en temas de privacidad en “la nube” y ver como dotar a esos servicios de una privacidad real y un control de la confidencialidad e integridad del que nos podamos fiar…

Así a bote pronto se me ocurre… una aplicación de software libre que trabaje en local ¿un javascript con algún sistema para validar la integridad de ese mismo javascript en un tercero de confianza? que cifre y envíe los datos a “la nube”, cifrados de forma que el propio proveedor de servicios de la nube no pueda acceder a la información ni modificarla sin que sea detectado… pero…
¿Cómo se come eso en una aplicación web? ¿Cómo se puede implementar, por ejemplo, un procesador de textos de tal forma que el propio procesador de textos no pueda acceder a la información del texto?

No tiene una solución sencilla… así que tendremos que seguir pensando porque el mercado se está orientando hacia allí.

El hábito no hace al monje pero ayuda a reconocerlo

Acababa de publicar el apunte anterior y estaba esperando la salida de mi avión…

Se acercan 4 ó 5 personas en el típico grupo donde se ve quien manda (uno habla y los demás sonríen, asienten y escuchan.

Casualmente deciden parar cerca de mi…

Que si hablé con fulano, que si tenemos que reunirnos con mengano, que si le dije al Ministro Patatín, que si el plan yo_que_se… Vamos que sin conocer a la persona esa se podían atar algunos cabos.

Una búsqueda en Google con 2 ó 3 términos clave que habían salido en la conversación de ese hombre y… ahí estaba, la foto de Don Fulanito, presidente de una gran empresa española, no diré el nombre porque no aporta nada al apunte.

Lo importante del apunte es la falta de concienciación, de las personas en general y la alta dirección en particular, en temas de seguridad corporativa.

Es el típico ejemplo: un aeropuerto, rodeado de gente a la que ni conoces, hablando, dando detalles, ¿pavoneandose? como si estuviera en su despacho rodeado de sus colaboradores…

A ese directivo y su equipo le hace mucha falta un plan de concienciación para proteger la información, planes y demás activos de la empresa.

¿Cómo puede un departamento de Seguridad de la Información atacar un problema así?