viernes, 23 de noviembre de 2012

Seguridad Informática una cuestión de Actitud, No de Aptitud

En cualquier faceta de negocio que esté involucrado el ser humano incluida la tecnología cualquier tema se vuelve complejo y la seguridad informática no es una excepción. Después de leer artículos fantásticos como el de Mariano M.del Río en Security By Default uno se queda pensando, como podemos ayudar a mejorar la seguridad, que pautas o referencias podemos aportar. Y la verdad es que esta casi todo dicho……

En la pasada mesa de seguridad Fernando de la Cuadra de Eset apostaba por la educación en seguridad, un mejor conocimiento del usuario que cada día se está demostrando como el eslabón más débil.

Yago Jesús de Security By Default defendía una postura más estricta para el usuario, que en realidad le beneficia porque no se delega más responsabilidad en el.

Un comentario de Yago que paso más desapercibido en la charla y me parece muy interesante, es que no se está exigiendo responsabilidades a los fabricantes de software, es decir si un usuario consume un yogurt en mal estado y se enferma deriva en unas consecuencias legales para la fabrica o el establecimiento que lo comercializa, en automoción también se tiene en cuenta la seguridad, no es viable un accidente producido por un error de fabricación pero eso no sucede en informática. 

Evidentemente no podemos culpar a una empresa informática porque se descubra una nueva vulnerabilidad, pero si la programación es descuidada, la configuración por defecto errónea tampoco tiene consecuencias aunque se perjudique a los clientes. No creo que Yago o yo le estemos descubriendo nada nuevo a los políticos o responsables de las grandes multinacionales: Google, Microsoft, Apple, Facebook, etc.

En mi caso realmente opino que hay una falta importante de información sobre los riesgos asociados a la tecnología, y mientras la Alta dirección no tenga sensación de amenaza no va a invertir dinero, recursos y tiempo en seguridad, los administradores no mantendrán las políticas de seguridad y los usuarios no las cumplirán. Lo cierto es que hoy en día existen medios para securizar una empresa pero mientras no sea una prioridad mantener la seguridad, no sirve de nada, el mejor software, el mejor cacharro o la mejor política de seguridad no funcionara mientras los implicados no se preocupen de que funcione cada día, así que no me queda otra que despedirme con un tópico…
La seguridad no es un producto, es un proceso.

Seguridad a lo Jabalí para Todos!!

3 comentarios:

  1. Espero que sigamos siendo amigos, a pesar de discrepar un poco en vuestra postura. :P

    Creo que información a día de hoy SOBRA, lo que hace falta ahora es formar al usuario final. Cuando asistimos a una charla y nos demuestran como al tener bluetooth activo, nos pueden entrar, desactivamos el servicio. Formamos a los que ya saben los riesgos, el técnico de IT, al de comunicaciones, pero no al gerente, ni a la recepcionista.

    También pecamos muchas veces, de dar información que realmente no comprenden: -¡Tienes un 0day en tu terminal android al activar wifi!- Ponen cara de WoW increíble. -Y ese 0day ¿Tiene whatsapp?

    Si estuvieran formados, quitarían configuraciones por defecto, o acaso ¿nosotros no lo hacemos? ¡Es lo primero que hacemos!

    Otra lucha ya, será la de pereza, comodidad, dejadez... Una lucha más compleja.

    ResponderEliminar
    Respuestas
    1. Lo de ser amigos por descontado, otra cosa es que me encanta discutir ja,ja,ja respecto a la formación, en un buen plan de seguridad se detalla la política de todos los empleados, después el jefe se lo salta porque es el que manda, el administrador también siguiendo el ejemplo y creyendo que sabe más y nadie se va a percatar, y así nos luce el pelo. En las configuraciones por defecto muchas veces aparecen archivos de instalación o listados que comprometen la seguridad, ¿tenemos que enseñar a cambiarlas o sería mejor que las configuraciones fueran seguras por defecto? Muchas veces hay dejadez en la parte del diseño de software y nadie pide responsabilidades. No se compañero yo tengo la sensación de que en seguridad “SOLO MINIMIZAMOS BAJAS Y PERDEMOS LA GUERRA DEL MALWARE CADA DIA” pero aunque tenga razón seguimos siendo amigos ja,ja,ja,ja.

      Eliminar
  2. Que conste, que dije que discrepaba, no que tuviera razón.

    Tras reescribir un par de veces el comentario, es un tema muy complicado de tratar y debatir por aquí. No obstante, un día te invito a un desayuno para entre los 2 arreglar el mundo. (Y ya veremos tras esa lengendaría batalla, cuales son las codiciones que se le imponene al que pierda el debate :P) Un abrazo

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias