Contraseñas y tarjetas de crédito (I)
Hace poco, la Universidad de Minnesota se puso en contacto conmigo para entrevistarme para su revista. Al parecer, querían publicar un artículo acerca de varios alumnos muy brillantes. Como no encontraron ninguno, en su lugar, decidieron entrevistarme a mí. La entrevistadora me preguntó en qué trabajo y dediqué unos minutos a intentar describirle el software
de infraestructuras de seguridad. Entonces, ella exclamó: "¡Qué complicado suena! Para mí, la seguridad trata de contraseñas y tarjetas de crédito".
Reflexioné durante unos minutos acerca de esta reacción, y me di cuenta de que tenía bastante razón. La seguridad sí que trata de contraseñas y tarjetas de crédito. Por lo menos, así es como lo percibe el usuario final. Los que trabajamos en ello, pensamos que la seguridad trata de algoritmos de cifrado, de si Kerberos es mejor que TLS o NTLMv2, de las ventajas de WS*, si se deberían aleatorizar los hash de contraseña y otras cuestiones esotéricas de las que nos encanta hablar. Es cierto que nuestra perspectiva es muy diferente y mucho más profunda que la de los usuarios finales, pero no nos hemos dado cuenta de algo fundamental: la seguridad, en la opinión de aquellos para los que trabajamos, trata de contraseñas y tarjetas de crédito.
Ya, todos los temas esotéricos que tanto nos gusta discutir y todas esas nuevas tecnologías que nos encanta inventar sirven para proteger los datos del usuario final. Aun así, creo que nos hemos perdido por el camino. Nosotros, la subcultura de la seguridad del mundo de la TI, existimos para cumplir una necesidad específica de nuestros clientes: la necesidad de mantener sus datos seguros. Eso, evidentemente, incluye la garantía de que se pueden usar todos los activos de TI sin riesgo alguno. En esencia, de eso se trata.
En artículos anteriores, dejé claro que nadie compra un equipo para poder ejecutar software de antivirus. Un usuario adquiere un equipo para usar sistemas de banca en línea, divertirse con juegos para PC, escribir mensajes de correo electrónico, hacer los deberes o alguna otra función primaria. Del mismo modo, ninguna empresa recurre a un grupo de seguridad de TI simplemente para implementar NTLMv2. Las empresas hacen uso de grupos de seguridad de TI para que protejan los activos de la organización, lo que permite a las grandes compañías usar sus recursos de TI sin riesgo alguno y alcanzar sus objetivos empresariales.
Nuestro único propósito es servirles.
Por lo tanto, cabe preguntar si actualmente estamos haciendo un buen trabajo a la hora de ofrecer servicios. ¿O quizá, por el contrario, estamos entorpeciendo las cosas en lugar de ayudar? ¿Nos están ayudando los legisladores y reguladores a entorpecerlo todo? No estoy convencido de que toda esta nueva tecnología que estamos estableciendo ayude realmente a los usuarios finales. Por lo tanto, me gustaría investigar algunas áreas en las que, como proveedores mundiales de TI, estamos causando más daño que beneficio.
A veces, da la sensación de que la mayoría de los consejos de seguridad y gran parte de la tecnología que ofrecemos a nuestros usuarios no son procesables, son incorrectos, incomprensibles o (en la mayoría de los casos) una combinación de los tres. En esta serie de tres partes, trataré algunos de los modos en que confundimos a los usuarios al aconsejarles o al implementar tecnologías culpables de alguno de los tres ccargos anteriores.
Seguir leyendo
de infraestructuras de seguridad. Entonces, ella exclamó: "¡Qué complicado suena! Para mí, la seguridad trata de contraseñas y tarjetas de crédito".
Reflexioné durante unos minutos acerca de esta reacción, y me di cuenta de que tenía bastante razón. La seguridad sí que trata de contraseñas y tarjetas de crédito. Por lo menos, así es como lo percibe el usuario final. Los que trabajamos en ello, pensamos que la seguridad trata de algoritmos de cifrado, de si Kerberos es mejor que TLS o NTLMv2, de las ventajas de WS*, si se deberían aleatorizar los hash de contraseña y otras cuestiones esotéricas de las que nos encanta hablar. Es cierto que nuestra perspectiva es muy diferente y mucho más profunda que la de los usuarios finales, pero no nos hemos dado cuenta de algo fundamental: la seguridad, en la opinión de aquellos para los que trabajamos, trata de contraseñas y tarjetas de crédito.
Ya, todos los temas esotéricos que tanto nos gusta discutir y todas esas nuevas tecnologías que nos encanta inventar sirven para proteger los datos del usuario final. Aun así, creo que nos hemos perdido por el camino. Nosotros, la subcultura de la seguridad del mundo de la TI, existimos para cumplir una necesidad específica de nuestros clientes: la necesidad de mantener sus datos seguros. Eso, evidentemente, incluye la garantía de que se pueden usar todos los activos de TI sin riesgo alguno. En esencia, de eso se trata.
En artículos anteriores, dejé claro que nadie compra un equipo para poder ejecutar software de antivirus. Un usuario adquiere un equipo para usar sistemas de banca en línea, divertirse con juegos para PC, escribir mensajes de correo electrónico, hacer los deberes o alguna otra función primaria. Del mismo modo, ninguna empresa recurre a un grupo de seguridad de TI simplemente para implementar NTLMv2. Las empresas hacen uso de grupos de seguridad de TI para que protejan los activos de la organización, lo que permite a las grandes compañías usar sus recursos de TI sin riesgo alguno y alcanzar sus objetivos empresariales.
Nuestro único propósito es servirles.
Por lo tanto, cabe preguntar si actualmente estamos haciendo un buen trabajo a la hora de ofrecer servicios. ¿O quizá, por el contrario, estamos entorpeciendo las cosas en lugar de ayudar? ¿Nos están ayudando los legisladores y reguladores a entorpecerlo todo? No estoy convencido de que toda esta nueva tecnología que estamos estableciendo ayude realmente a los usuarios finales. Por lo tanto, me gustaría investigar algunas áreas en las que, como proveedores mundiales de TI, estamos causando más daño que beneficio.
A veces, da la sensación de que la mayoría de los consejos de seguridad y gran parte de la tecnología que ofrecemos a nuestros usuarios no son procesables, son incorrectos, incomprensibles o (en la mayoría de los casos) una combinación de los tres. En esta serie de tres partes, trataré algunos de los modos en que confundimos a los usuarios al aconsejarles o al implementar tecnologías culpables de alguno de los tres ccargos anteriores.
Seguir leyendo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!