Protegiéndonos de las soluciones de seguridad
Acabo de recibir un mensaje de una gran consultora, de esas que hacen estudios basándose en estadísticas tras recopilar la opinión de terceros supuestamente expertos. Muy amables, solicitan corrija una errata en una de las respuestas que rellené en su cuestionario. La pregunta pedía que, según mi criterio, enumerara el top 10 de amenazas de seguridad a las que se deberían enfrentar las empresas a corto y medio plazo. La respuesta que suponen una errata es: las soluciones de seguridad.
Supongo que la mayoría estamos de acuerdo en que, en casos puntuales, una solución de seguridad puede introducir nuevas amenazas, bien por mal funcionamiento en sus funciones de protección, bien por nuevas vulnerabilidades que se derivan del propio producto o servicio de seguridad. No obstante, incluir esa remota y puntual posibilidad en un top 10 de amenazas no es muy acertado. Así que entono el mea culpa por una mala descripción de lo que quería decir (tampoco había mucho espacio en el campo de texto libre del cuestionario), y les voy a enviar la rectificación: marketing falso en soluciones de seguridad.
En su día me molestaba mucho leer el eslogan de "100% de protección contra virus", una herencia de aquella molestia se puede encontrar aun hoy día en el aviso que escribí hace 5 años en la web de VirusTotal: "No existe solución en el mundo que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general. Si le ofrecen un producto con el 100% de efectividad, está siendo víctima de publicidad falsa.". Afortunadamente el marketing de los antivirus ha evolucionado y ya nadie se atreve a decir nada parecido.
Sin embargo, en términos generales, el marketing en las soluciones de seguridad sigue siendo poco honesto, tanto con el usuario final como con el cliente corporativo. Un buen momento que tengo para afianzar esa sensación es cuando presento los resultados de auditorías y test de penetración a clientes corporativos. Es entonces cuando escucho frases como: "pero el vendedor nos dijo que este sistema de prevención de intrusiones evitaba cualquier tipo de inyección", "no puede ser, el portátil tiene un sistema de cifrado y nos dijeron que era imposible extraer ninguna información", etc.
Ya sabemos que cualquier solución de seguridad que nos ofrezcan, u ofrezcamos, no es perfecta. Así que el vender las soluciones de seguridad exagerando sus virtudes y omitiendo sus debilidades podría entenderse como picaresca, parte del juego entre vendedor-comprador. Pero los efectos en realidad son mucho más perniciosos que el del anuncio del detergente que nos asegura que lava más blanco que ninguno, porque puede llegar a crear una falsa sensación de seguridad en el comprador y las consecuencias pueden ser desastrosas para la empresa.
No se trata simplemente de que el comprador haya adquirido una solución que no es la mejor de su categoría, como ocurre en el caso del detergente, sino que probablemente no le hayan explicado las limitaciones de esa tecnología y de la que adolece cualquier otro producto de la misma categoría. El resultado es que el comprador no entenderá la necesidad de añadir capas adicionales de seguridad para proteger sus activos, una verdad que en el mejor de los casos descubrirá durante una auditoría o test de penetración, y en el peor de los escenarios ya sería demasiado tarde.
Mi humilde consejo: cuando intenten venderle una tecnología o solución de seguridad, desconfíe de cualquier presentación que no incluya explícitamente una descripción de sus debilidades o limitaciones.
Bernardo Quintero
Fuente: http://www.hispasec.com/unaaldia/3893/
Supongo que la mayoría estamos de acuerdo en que, en casos puntuales, una solución de seguridad puede introducir nuevas amenazas, bien por mal funcionamiento en sus funciones de protección, bien por nuevas vulnerabilidades que se derivan del propio producto o servicio de seguridad. No obstante, incluir esa remota y puntual posibilidad en un top 10 de amenazas no es muy acertado. Así que entono el mea culpa por una mala descripción de lo que quería decir (tampoco había mucho espacio en el campo de texto libre del cuestionario), y les voy a enviar la rectificación: marketing falso en soluciones de seguridad.
En su día me molestaba mucho leer el eslogan de "100% de protección contra virus", una herencia de aquella molestia se puede encontrar aun hoy día en el aviso que escribí hace 5 años en la web de VirusTotal: "No existe solución en el mundo que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general. Si le ofrecen un producto con el 100% de efectividad, está siendo víctima de publicidad falsa.". Afortunadamente el marketing de los antivirus ha evolucionado y ya nadie se atreve a decir nada parecido.
Sin embargo, en términos generales, el marketing en las soluciones de seguridad sigue siendo poco honesto, tanto con el usuario final como con el cliente corporativo. Un buen momento que tengo para afianzar esa sensación es cuando presento los resultados de auditorías y test de penetración a clientes corporativos. Es entonces cuando escucho frases como: "pero el vendedor nos dijo que este sistema de prevención de intrusiones evitaba cualquier tipo de inyección", "no puede ser, el portátil tiene un sistema de cifrado y nos dijeron que era imposible extraer ninguna información", etc.
Ya sabemos que cualquier solución de seguridad que nos ofrezcan, u ofrezcamos, no es perfecta. Así que el vender las soluciones de seguridad exagerando sus virtudes y omitiendo sus debilidades podría entenderse como picaresca, parte del juego entre vendedor-comprador. Pero los efectos en realidad son mucho más perniciosos que el del anuncio del detergente que nos asegura que lava más blanco que ninguno, porque puede llegar a crear una falsa sensación de seguridad en el comprador y las consecuencias pueden ser desastrosas para la empresa.
No se trata simplemente de que el comprador haya adquirido una solución que no es la mejor de su categoría, como ocurre en el caso del detergente, sino que probablemente no le hayan explicado las limitaciones de esa tecnología y de la que adolece cualquier otro producto de la misma categoría. El resultado es que el comprador no entenderá la necesidad de añadir capas adicionales de seguridad para proteger sus activos, una verdad que en el mejor de los casos descubrirá durante una auditoría o test de penetración, y en el peor de los escenarios ya sería demasiado tarde.
Mi humilde consejo: cuando intenten venderle una tecnología o solución de seguridad, desconfíe de cualquier presentación que no incluya explícitamente una descripción de sus debilidades o limitaciones.
Bernardo Quintero
Fuente: http://www.hispasec.com/unaaldia/3893/
Y qué razón tiene ... Hay comerciales que intentan imponerte cómo debería ser la seguridad de tu empresa, cualquier cosa con tal de venderte SU solución. Recuerdo una anécdota de un comercial que, quiriendo nosotros un firewall de nivel de aplicación, nos intentaba emplumar un "plan maestro".
ResponderBorrarY aparte está también que te venden todo como "la solución definitiva": IDS que no necesitan configuración, que no fallan nunca ni bannean usuarios legítimos, etc, ...
Lamentable.