En cualquier faceta de negocio que esté involucrado el ser humano incluida la tecnología cualquier tema se vuelve complejo y la seguridad informática no es una excepción. Después de leer artículos fantásticos como el de Mariano M.del Río en Security By Default uno se queda pensando, como podemos ayudar a
mejorar la seguridad, que pautas o referencias podemos aportar. Y la verdad es
que esta casi todo dicho……
En la pasada mesa de seguridad Fernando de la Cuadra de Eset
apostaba por la educación en seguridad, un mejor conocimiento del usuario que
cada día se está demostrando como el eslabón más débil.
Yago Jesús de Security By Default defendía una postura más estricta para el usuario, que en realidad
le beneficia porque no se delega más responsabilidad en el.
Un comentario de Yago que paso más desapercibido en la
charla y me parece muy interesante, es que no se está exigiendo
responsabilidades a los fabricantes de software, es decir si un usuario consume
un yogurt en mal estado y se enferma deriva en unas consecuencias legales para
la fabrica o el establecimiento que lo comercializa, en automoción también se
tiene en cuenta la seguridad, no es viable un accidente producido por un error
de fabricación pero eso no sucede en informática.
Evidentemente no podemos
culpar a una empresa informática porque se descubra una nueva vulnerabilidad,
pero si la programación es descuidada, la configuración por defecto errónea tampoco
tiene consecuencias aunque se perjudique a los clientes. No creo que Yago o yo
le estemos descubriendo nada nuevo a los políticos o responsables de las
grandes multinacionales: Google, Microsoft, Apple, Facebook, etc.
En mi caso realmente opino que hay una falta importante de información
sobre los riesgos asociados a la tecnología, y mientras la Alta dirección no
tenga sensación de amenaza no va a invertir dinero, recursos y tiempo en
seguridad, los administradores no mantendrán las políticas de seguridad y los
usuarios no las cumplirán. Lo cierto es que hoy en día existen medios para securizar una empresa pero mientras no
sea una prioridad mantener la seguridad, no sirve de nada, el mejor software,
el mejor cacharro o la mejor política de seguridad no funcionara mientras los
implicados no se preocupen de que funcione cada día, así que no me queda otra
que despedirme con un tópico…
La seguridad no es un producto, es un proceso.
Seguridad a lo Jabalí para Todos!!
Espero que sigamos siendo amigos, a pesar de discrepar un poco en vuestra postura. :P
ResponderEliminarCreo que información a día de hoy SOBRA, lo que hace falta ahora es formar al usuario final. Cuando asistimos a una charla y nos demuestran como al tener bluetooth activo, nos pueden entrar, desactivamos el servicio. Formamos a los que ya saben los riesgos, el técnico de IT, al de comunicaciones, pero no al gerente, ni a la recepcionista.
También pecamos muchas veces, de dar información que realmente no comprenden: -¡Tienes un 0day en tu terminal android al activar wifi!- Ponen cara de WoW increíble. -Y ese 0day ¿Tiene whatsapp?
Si estuvieran formados, quitarían configuraciones por defecto, o acaso ¿nosotros no lo hacemos? ¡Es lo primero que hacemos!
Otra lucha ya, será la de pereza, comodidad, dejadez... Una lucha más compleja.
Lo de ser amigos por descontado, otra cosa es que me encanta discutir ja,ja,ja respecto a la formación, en un buen plan de seguridad se detalla la política de todos los empleados, después el jefe se lo salta porque es el que manda, el administrador también siguiendo el ejemplo y creyendo que sabe más y nadie se va a percatar, y así nos luce el pelo. En las configuraciones por defecto muchas veces aparecen archivos de instalación o listados que comprometen la seguridad, ¿tenemos que enseñar a cambiarlas o sería mejor que las configuraciones fueran seguras por defecto? Muchas veces hay dejadez en la parte del diseño de software y nadie pide responsabilidades. No se compañero yo tengo la sensación de que en seguridad “SOLO MINIMIZAMOS BAJAS Y PERDEMOS LA GUERRA DEL MALWARE CADA DIA” pero aunque tenga razón seguimos siendo amigos ja,ja,ja,ja.
EliminarQue conste, que dije que discrepaba, no que tuviera razón.
ResponderEliminarTras reescribir un par de veces el comentario, es un tema muy complicado de tratar y debatir por aquí. No obstante, un día te invito a un desayuno para entre los 2 arreglar el mundo. (Y ya veremos tras esa lengendaría batalla, cuales son las codiciones que se le imponene al que pierda el debate :P) Un abrazo