14 octubre 2011

¿Se toma en serio la seguridad en las empresas españolas? #ncn2k11


Pronto se empezarán a publicar los anhelados videos con las charlas del congreso de seguridad NoConName 2011 que ya tuvimos oportunidad de resumiros en SbD. De los primeros que han visto la luz, ha sido el de la mesa redonda "¿Se toma en serio la seguridad en las empresas españolas?" que un servidor tuvo el placer de moderar.

Dicha mesa contó con invitados como Miguel Angel Hervella (Director de Riesgos de Información para Deutsche Bank Iberia, Italia y MENA) y Enric Llaudet (con una amplia trayectoria en el departamento de sistemas y de seguridad de la información para British Telecom y el CESICAT) defendiendo la visión de las empresas, y por otra parte, Albert Puigsech (aka RIPE) y Pau Oliva (pof) archiconocidos en el mundo underground y actualmente dedicados de lleno al mundo de la seguridad en diferentes vertientes. Como podéis imaginar, con participantes de esta categoría, cada uno con cualidades profesionales de tan alto nivel y con visión tan dispar, el debate estaba servido.

Aunque el tema puede parecer poco atractivo en un tipo de foro tan técnico, os aseguro que el contenido y las conclusiones son muy interesantes y nos interesan a TODOS, puesto que como usuarios que somos de servicios ofrecidos por empresas, el saber qué tipo de tratamiento van a tener mis datos personales, las medidas de seguridad que se van a aplicar para evitar que vuele el dinero de nuestra tarjeta de crédito. Y si eso pasa,… ¿Descuido o negligencia?

Espero que veáis el video y saquéis vuestras propias conclusiones.

Os dejo el enlace del video a continuación:




Si además queréis leer las opiniones y conclusiones obtenidas por una persona con años de experiencia dedicada al periodismo en Internet, os recomiendo encarecidamente el artículo escrito para Ciberp@is por Mercé Molist que, cuaderno en mano asistió atenta y en primera fila al debate.

Por mi parte, como moderador, os comparto la presentación que estaba de fondo, que en el video no se observa.





Como conclusiones, a nivel personal, me gustaría indicar las siguientes:
  • "A las empresas, el zapato les aprieta si hay una normativa que exija seguridad en sus datos y/o procesos"
  • "En los presupuestos en seguridad se prioriza lo necesario, y luego lo deseable. En caso de urgencia se desviste un santo para vestir otro"
  • "El dinero destinado a seguridad ¿es una inversión o un gasto? Un gasto si lo impone una normativa y una inversión si de verdad te preocupa tu imagen de marca"
  • "Las decisiones en las empresas ante invertir o no, las marca un análisis de riesgos. A veces más vale lamentar que prevenir. Se gasta en arreglar lo que no se invirtió para prevenir"
  • "La excesiva burocracia mata la urgencia"
Como momentos divertidos y épicos, que causaron un fuerte aplauso y aseveración por parte del público, destacaría estas dos, "!addquote pof":
  • "Hay dos tipos de empresas, las que saben que han sido "owneadas" y las que no lo saben".
  • "La primera comilla desde tu casa, todas las demás desde la red TOR". 
  • "A lo mejor te publico la base de datos en Pastebin..." (En contestación a Enric Llaudet: "A lo mejor no quiero darte la razón en aceptar que mi web tenía un fallo...").

3 comments :

Raimundo dijo...

Las empresas, según mi experiencia, sólo se preocupan de la seguridad cuando han sido "owneadas" o como en el caso de la mia, para conseguir el sello de la ISOXXXX.

Hasta que no llegó el día de instaurar los protocolos para el sello de calidad, no conseguí implantar ciertas medidas básicas de seguridad. Se quejan constantemente de la cantidad de claves, de por qué tienen que cambiarlas, etc,...

Y para que hablar de la destrucción de documentos. Arrugados y a la papelera, y el aparato dedicado al tema, muerto de risa en una esquina.

Y yo me digo... "paciencia, paciencia,... ya aprenderán...." pero quizá lleguemos tarde.

Saludos

deadlock dijo...

Es Albert Puigsech, gracias. 

Lorenzo_Martinez dijo...

Mis disculpas! Tienes toda la razón... ya está corregido.