Presentación: "Las empresas no se toman la seguridad en serio"
"Hay dos tipos de empresas: las que saben que han sufrido una intrusión y las que no", aseveró el hacker Pau Oliva en la convención de seguridad informática NoConName, celebrada en Barcelona. Hackers y consultores discutieron sobre la desidia de las empresas, entre ellas muchas pymes, que ponen en peligro no solo sus redes sino la privacidad de todos sus clientes.
La veterana convención NoConName, a la que asistieron 350 personas según la organización, se cerró con una mesa redonda bajo el enunciado ¿Se toman las grandes empresas la seguridad en serio?. Ver video y presentación.
Frente a frente, dos conocidos hackers, Pau Oliva y Albert Puigsech, haciendo preguntas incómodas a dos consultores de corporaciones, Miguel Ángel Hervella y Enric Llaudet. Al final, todos coincidieron en que "muchas empresas no lo están haciendo bien", en palabras de Hervella. Lo confirmó Llaudet, quien criticó que las corporaciones son "reinos de taifas donde es difícil aplicar políticas de seguridad".
Hervella matizó que "en muchas empresas no se tiene claro el riesgo, creen que no les va a pasar nada o que, si pasa algo, pueden tirar de copias de seguridad".
Esta forma de pensar, afirmaron, está muy extendida en las pequeñas y medianas empresas. Según Oliva, "la mayoría ni conoce la Ley de Protección de Datos" que rige en España.
El problema, explicó Puigsech, viene cuando un ataque no afecta únicamente a la empresa y alcanza también a terceros, usualmente los clientes. "Sus datos privados pueden acabar publicados en Internet, también las tarjetas de crédito, que tendrán que anular en el banco. Se generan unas graves molestias a los clientes que las empresas no tienen en cuenta".
El público participó vivamente en el coloquio celebrado tras la mesa redonda y alguien apuntó otro ejemplo: una empresa que ofrece routers configurados de forma insegura a sus clientes, poniéndolos en peligro.
Hervella explicó: "El problema en este caso es que el análisis de riesgos no está bien hecho y, hasta que no pase algo, como que les pongan una multa o sus clientes sean atacados en masa, no cambiarán".
El moderador del debate, Lorenzo Martínez, introdujo otro tema caliente: "Muchas empresas pasan de los investigadores cuando les notifican fallos y no los arreglan".
Hervella lo justificó con un ejemplo: "Las empresas son complejas, puede que el responsable de seguridad quiera arreglarlo, pero la respuesta de sus jefes sea que no es prioridad, o no hay presupuesto, o la empresa que les vendió esta aplicación ha desaparecido y hay que contratar a alguien expresamente".
Los investigadores demostraron también su preocupación por la posibilidad de que cuando avisen del fallo a la empresa, esta les denuncie, algo que sucede a menudo. "En este caso", explicó Pau Oliva, "lo que suelen hacer los hackers buenos es contactar con la empresa a través de un tercero, por ejemplo, el organismo de seguridad informática del Gobierno español, Inteco".
Fuente: El País
La veterana convención NoConName, a la que asistieron 350 personas según la organización, se cerró con una mesa redonda bajo el enunciado ¿Se toman las grandes empresas la seguridad en serio?. Ver video y presentación.
Frente a frente, dos conocidos hackers, Pau Oliva y Albert Puigsech, haciendo preguntas incómodas a dos consultores de corporaciones, Miguel Ángel Hervella y Enric Llaudet. Al final, todos coincidieron en que "muchas empresas no lo están haciendo bien", en palabras de Hervella. Lo confirmó Llaudet, quien criticó que las corporaciones son "reinos de taifas donde es difícil aplicar políticas de seguridad".
Hervella matizó que "en muchas empresas no se tiene claro el riesgo, creen que no les va a pasar nada o que, si pasa algo, pueden tirar de copias de seguridad".
Esta forma de pensar, afirmaron, está muy extendida en las pequeñas y medianas empresas. Según Oliva, "la mayoría ni conoce la Ley de Protección de Datos" que rige en España.
El problema, explicó Puigsech, viene cuando un ataque no afecta únicamente a la empresa y alcanza también a terceros, usualmente los clientes. "Sus datos privados pueden acabar publicados en Internet, también las tarjetas de crédito, que tendrán que anular en el banco. Se generan unas graves molestias a los clientes que las empresas no tienen en cuenta".
El público participó vivamente en el coloquio celebrado tras la mesa redonda y alguien apuntó otro ejemplo: una empresa que ofrece routers configurados de forma insegura a sus clientes, poniéndolos en peligro.
Hervella explicó: "El problema en este caso es que el análisis de riesgos no está bien hecho y, hasta que no pase algo, como que les pongan una multa o sus clientes sean atacados en masa, no cambiarán".
El moderador del debate, Lorenzo Martínez, introdujo otro tema caliente: "Muchas empresas pasan de los investigadores cuando les notifican fallos y no los arreglan".
Hervella lo justificó con un ejemplo: "Las empresas son complejas, puede que el responsable de seguridad quiera arreglarlo, pero la respuesta de sus jefes sea que no es prioridad, o no hay presupuesto, o la empresa que les vendió esta aplicación ha desaparecido y hay que contratar a alguien expresamente".
Los investigadores demostraron también su preocupación por la posibilidad de que cuando avisen del fallo a la empresa, esta les denuncie, algo que sucede a menudo. "En este caso", explicó Pau Oliva, "lo que suelen hacer los hackers buenos es contactar con la empresa a través de un tercero, por ejemplo, el organismo de seguridad informática del Gobierno español, Inteco".
Fuente: El País
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!