Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lectura - Doce Mitos de Seguridad de TI PDF
Lectura - Doce Mitos de Seguridad de TI PDF
Son mitos frecuentemente repetidos, y nociones ampliamente aceptadas, sobre seguridad en TI que?
simplemente no son verdad. Les hemos preguntado a los profesionales de seguridad que compartan con
nosotros sus “mitos favoritos de seguridad”. Aquí están doce de ellos.
Pescatore también tiene otros dos mitos favoritos relativos a la seguridad en la nube que, puestos juntos, son
contradictorios en sí mismos: los “servicios en la nube nunca van a ser seguros” porque son servicios
compartidos que pueden cambiar cuando lo deseen, y el segundo mito es “la nube es más segura porque es lo
que los proveedores hacen para ganarse la vida”. Sobre esos dos mitos contradictorios, Pescatore señala:
“Muchos de los proveedores como Google, Amazon, etc., no construyen sus nubes para proporcionar
servicios de clase empresarial o proteger la información de los demás. De hecho, Google construyó una nube
muy potente expresamente para a reunir y exponer la información de otras personas a través de sus servicios
de búsqueda”.
Pero Pescatore también señala que los servicios de nube basados en e-mail provenientes de Google y
Microsoft, por ejemplo, hasta el momento han demostrado que cuando los datos de los clientes fueron
expuestos, muy rara vez fue culpa del proveedor, y en su mayoría se puede atribuir la culpa a los ataques de
phishing en clientes. Pero el cliente empresarial sigue lidiando con cómo cambiar adecuadamente sus
procesos para que coincidan con los de los proveedores de servicios de nube en términos de respuesta a
incidentes.
Mito #3: “Todas las cuentas están en Active Directory y bajo control”
Tatu Ylönen, inventor de SSH y CEO de SSH Communications Security, señala que este concepto erróneo es
común, pero que la mayoría de las organizaciones han creado -y en gran medida olvidado- cuentas
funcionales utilizadas por las aplicaciones y procesos automatizados, a menudo administrados por claves de
cifrado y nunca auditadas. “Muchas grandes organizaciones tienen más claves configuradas para acceder a sus
servidores de producción que cuentas de usuario en Active Directory”, señala Ylonen. “Y estas claves no se
cambian, nunca se auditan y no se controlan. Toda la identidad y el ámbito administrado de acceso
generalmente administra las cuentas de usuarios interactivos, y consistentemente ignora el acceso
automatizado por máquinas”. Pero estas claves destinadas para acceso automatizado se pueden utilizar para
ataques y propagación de virus, si no se gestionan adecuadamente.
Mito #4: “Las técnicas de gestión de riesgos son necesarias para la seguridad de TI”
Richard Stiennon, analista en jefe de IT-Harvest, señala que aunque la gestión de riesgos “se ha convertido en
la técnica aceptada de gestión,” en realidad “se centra en una tarea imposible: identificar los activos de TI y
catalogar su valor”. No importa cómo se intente, “no reflejará el valor que los atacantes ponen en la propiedad
intelectual”. Stiennon sostiene que “la única práctica que realmente mejorará la capacidad de una empresa
para hacer frente a los ataques dirigidos, es la gestión del riesgo que implica la comprensión profunda de los
adversarios y sus objetivos y metodologías”.
Mito #6: “Los ataques de día cero son un factor de vida y son imposibles de predecir o de responder
efectivamente”
Los ataques de día cero son aquellos dirigidos a vulnerabilidades de la red que aún no son conocidos en forma
general. Pero H.D. Moore, CSO en Rapid7 y creador de la herramienta de prueba de penetración Metasploit,
piensa lo contrario, que “los profesionales de seguridad realmente pueden hacer un buen trabajo en predecir y
evitar el software problemático.
“Si la organización depende de un software sin el cual es “imposible” trabajar, debe haber un plan en marcha
para saber qué hacer en caso de que el software se convierta en un riesgo de seguridad.
La habilitación selectiva y la limitación de los privilegios que el software recibe son buenas estrategias.
“También dice que otro mito favorito de seguridad es que “puede decir lo seguro que es un producto o
servicio basándose en el número de vulnerabilidades divulgadas públicamente”.
Él señala que un buen ejemplo de ello es la noción de que “WordPress es terrible, mire cuántas
vulnerabilidades se han encontrado hasta ahora!” Pero agrega que “la historia profunda de los defectos del
software puede ser el resultado natural de una pieza de software cada vez más popular”. Moore concluye:
“Por el contrario, hay decenas de productos sin defectos publicados, que son a menudo mucho menos seguros
que una aplicación más conocida y más ampliamente auditada. En resumen, el número de fallas de seguridad
publicados para una pieza de software es una medida terrible para ver lo segura que es la última versión de un
software”.
Mito #7: “Cumplo con los requisitos, por lo tanto estoy seguro”
Bob Russo, gerente general de PCI Security Standards Council, señala que es una noción común que las
empresas piensen que una vez que obtienen la conformidad con las normas de seguridad de datos para tarjetas
de pago, están “seguros de una vez y para siempre”. Pero el control para el cumplimiento solo representa una
“instantánea en el tiempo”, mientras que la seguridad es un proceso continuo en relación con las personas, la
tecnología y los procesos.
Mito # 10: “Puede estar 100% seguro, pero tiene que renunciar a las libertades personales”
Stuart McClure, CEO y presidente del emprendimiento Cylance, señala que no compre el argumento de que
para luchar contra los chicos malos en línea, hay que “enviar todo nuestro tráfico al gobierno para hacerlo”.
Es mejor conocer a los chicos malos muy bien, “predecir sus movimientos, sus herramientas”, y “meterse en
su piel”.
Mito Mito # 11: “Estar al día con la seguridad es todo lo que necesita para detener el malware”
Martin Roesch, fundador de Sourcefire e inventor del sistema Snort de detección de intrusiones, señala que la
seguridad defensiva muy a menudo se limita a la captura o la no captura de cualquier tipo de ataque, y que si
se pierde, la defensa “prácticamente deja de ser un factor en el despliegue de actividades de seguimiento de un
atacante”. Un nuevo modelo de seguridad funciona de forma continua para actualizar la información incluso
si el ataque inicial de la red se pierde, con el fin de comprender el alcance del ataque y contenerlo.
Mito # 12: “Con la protección adecuada, los atacantes pueden quedar fuera”
Scott Charney, vicepresidente corporativo de Microsoft Trustworthy Computing, señala: “A menudo
asociamos el mantenimiento de la seguridad con mantener a la gente fuera; poner seguro a sus puertas,
firewalls en nuestras computadoras. Pero la realidad es que aún con estrategias de seguridad sofisticadas y con
operaciones excelentes, un atacante persistente y con determinación, encontrará eventualmente una manera de
forzar la entrada Hay que reconocer que en realidad deberíamos pensar de forma diferente respecto a la
seguridad”. Para la comunidad entera de seguridad, eso significa “proteger, contener y recuperar” para
combatir las amenazas de hoy y en el futuro. Ellen Messmer, Network World (EE.UU.) – CIOPeru.pe
(*) http://www.cwv.com.ve/?p=14613