El principal estratega de seguridad de la división de IBM ISS (Internet Security Systems) nos habla en un podcast sobre el lado oscuro de la industria de la seguridad.
Las ocho plagas que están minando la capacidad de los profesionales de la seguridad para montar una línea de defensa eficaz.
El intento de acabar con ellas y motivar hacia el cambio para lograr que vaya a mejor.
- Los proveedores no necesitan estar por delante de las amenazas, sólo el comprador. El principal problema de todos, comenta, son los vendedores que sólo se centran en hacer dinero y no en buscar la seguridad del cliente. Su único objetivo es vender sus productos al mayor número de compradores posibles sin preocuparse de lo que realmente necesitan.
- Omisiones de la certificación de los antivirus. Los antivirus dan una falsa sensación de seguridad, y uno piensa que está a salvo de todo el malware. Pero la mayor parte de ellos no controlan los troyanos que están presentes desde el comienzo del malware y que hoy representan el 80% de este tipo de amenazas.
- No hay perímetros. Si establecemos un perímetro y no es correcto, nuestros controles de seguridad no serán eficaces. Debemos entender que el punto final de este perímetro es el usuario final. Y no intentar fijar perímetros, dando una falsa sensación de seguridad.
- La gestión de riesgos amenaza a los proveedores. La gestión de riesgos ayuda a las organizaciones a entender cuál es su nivel de riesgo. En muchas ocasiones las prioridades de una empresa no se ajustan con lo que les ofrece el vendedor. Si no tenemos una imagen clara de nuestros riesgos, estos estarán mas que encantados de fijarlos por nosotros, y lo único que tratarán es que se ajuste a su oferta de productos y no a lo que necesitamos realmente.
- Hay otros riesgos además del software poco robusto. No sólo hay que centrarse en las vulnerabilidades del software sino en las configuraciones débiles y en el usuario.
- La seguridad se ve supeditada al cumplimiento de las normativas. El cumplimiento de todas las normativas hace que las compañías gasten más de lo que deberían. Los vendedores se aprovechan ofreciéndonos productos que nos hacen compliance pero sin centrarse en los riesgos particulares de la empresa.
- Los puntos ciegos del proveedor han permitido las tormentas de botnets. Las botnets prosperan donde hay poca inversión para la innovación, como dice "se desayunan al antivirus", aprovechándose de nuestra confianza en estos cuando certifican que han pasado x test. No necesitan atacar las vulnerabilidades del código, sino que se centran en ataques basados en ingeniería social.
- El crecimiento en seguridad ha sobrepasado el "hazlo tu mismo". Tecnología sin estrategia es un caos, no nos pueden vender la idea de comprar y comprar más productos, instalarlos y luego olvidarnos de ellos.
[+] 8 Dirty Secrets of the IT Security Industry
0 comments :
Publicar un comentario