lunes, 29 de abril de 2019

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness (II)

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness (II)


En esta segunda entrega y continuando con el primer artículo de la serie, hablaremos con más detalle del gran esfuerzo que tiene que realizar cualquier organización para que su plataforma Moodle funcione de manera correcta y segura cuando es empleada como plataforma de concienciación en ciberseguridad.

Errores de calidad y de seguridad

Como veremos, una aplicación web como Moodle (o cualquier sistema de gestión de aprendizaje genérico o LMS) necesitará de recursos humanos dedicados que le proporcionen una supervisión continua para poder mantenerla libre de errores ya sean de calidad (suelen afectar funcionalidades de la aplicación) o de seguridad (implican habitualmente la extracción o modificación no autorizada de datos o dejar la plataforma inaccesible).

Vulnerabilidades

Los sistemas de gestión de aprendizaje o simplemente gestores de aprendizaje son aplicaciones web complejas, habitualmente con multitud de módulos y complementos, muchos de los cuales no son implementados por el desarrollador del propio gestor.

Lo anterior provoca que haya más posibilidades de que aparezcan errores de seguridad debido a que tenemos una mayor superficie de ataque. Puede comprobarse cómo un gran porcentaje de ataques en el pasado han tenido como vector de entrada el aprovechamiento de un error de seguridad debido a un módulo o complemento desactualizado.

Los errores de seguridad, también denominados vulnerabilidades, son los errores más temidos por los responsables de seguridad de las organizaciones, ya que podrían permitir a un ciberdelincuente realizar diferentes acciones que, en última instancia, podrían afectar a la actividad normal de la organización o incluso hacer que su valor se redujese y en los casos más extremos hacer que la propia organización desapareciera.

Sólo en los últimos 7 años, el portal CVE Details que recopila las vulnerabilidades públicas notificadas a MITRE, ha listado un total de 292 vulnerabilidades de seguridad para la plataforma Moodle. Haciendo cálculos, esta cifra supone que ha aparecido de media, prácticamente, una vulnerabilidad de seguridad cada semana en los últimos 7 años.

Número de vulnerabilidades de la plataforma Moodle de las tipologías más frecuentes en los últimos 7 años. Fuente: CVE Details.

Si la tendencia de aparición de vulnerabilidades se mantiene (no hay datos que indiquen lo contrario), el personal técnico a cargo del mantenimiento del Moodle de la organización tendría que hacer, por lo tanto, un sobreesfuerzo para mantenerlo saludable y libre de errores y conseguir de esta manera, no sólo que la aplicación web funcione correctamente, sino que, por ejemplo, datos sensibles de la misma o de sus empleados no caigan en manos indeseadas.

Mantenimiento

Una vez desplegado el gestor de aprendizaje, en principio, podría parecer que la única preocupación sería la gestión misma de los contenidos de aprendizaje, pero nada más lejos de la realidad. Se deberán realizar ciertas labores de mantenimiento de manera periódica para que la plataforma se encuentre libre de todo tipo de errores.

En el caso de Moodle, por ejemplo, las labores de mantenimiento implicarían, al menos, la realización de las siguientes acciones:
  • Realización de copias de respaldo
  • Parcheo de la plataforma
  • Actualizaciones importantes de la plataforma (en ocasiones implica una instalación completa del gestor)
  • Actualización de complementos 

Como vimos, en nuestro caso, prácticamente cada semana habría que parchear la plataforma, lo que conllevaría además una indisponibilidad asociada. Así mismo, después de cada actualización o parcheo, habría que comprobar que la plataforma está operando con normalidad y que no han aparecido nuevos problemas, como por ejemplo, incompatibilidades con algún complemento o comportamientos inesperados.

Todas estas acciones implican un gran esfuerzo humano y por lo tanto, económico, que en muchas ocasiones las organizaciones no pueden permitirse.

Conclusión

Puede resultar muy apetecible utilizar un gestor de aprendizaje genérico para realizar concienciación en ciberseguridad pero hay que medir las consecuencias que van aparejadas a dicha decisión.

La constante aparición de vulnerabilidades, unida a la complejidad de los actuales gestores de aprendizaje, hará que el proceso de mantenimiento del gestor corporativo sea una labor difícil y costosa

Además hay otras acciones que van ligadas al uso de un LMS que añadirán un esfuerzo extra tales como la realización de copias de seguridad o la preocupación por la disponibilidad del servicio.

En cualquier caso, será la propia organización la que valore en última instancia si le compensa o puede permitirse el sobreesfuerzo de usar un sistema de gestión de aprendizaje como plataforma corporativa de concienciación en ciberseguridad.
Leer Más