8 oscuros secretos de la Industria de Seguridad de TI


El principal estratega de seguridad de la división de IBM ISS (Internet Security Systems) nos habla en un podcast sobre el lado oscuro de la industria de la seguridad.





Las ocho plagas que están minando la capacidad de los profesionales de la seguridad para montar una línea de defensa eficaz.

El intento de acabar con ellas y motivar hacia el cambio para lograr que vaya a mejor.

1.- Los proveedores no necesitan estar por delante de las amenazas, sólo el comprador. El principal problema de todos, comenta, son los vendedores que sólo se centran en hacer dinero y no en buscar la seguridad del cliente. Su único objetivo es vender sus productos al mayor número de compradores posibles sin preocuparse de lo que realmente necesitan.

2.- Omisiones de la certificación de los antivirus. Los antivirus dan una falsa sensación de seguridad, y uno piensa que está a salvo de todo el malware. Pero la mayor parte de ellos no controlan los troyanos que están presentes desde el comienzo del malware y que hoy representan el 80% de este tipo de amenazas.

3.- No hay perímetros. Si establecemos un perímetro y no es correcto, nuestros controles de seguridad no serán eficaces. Debemos entender que el punto final de este perímetro es el usuario final. Y no intentar fijar perímetros, dando una falsa sensación de seguridad.

4.- La gestión de riesgos amenaza a los proveedores. La gestión de riesgos ayuda a las organizaciones a entender cuál es su nivel de riesgo. En muchas ocasiones las prioridades de una empresa no se ajustan con lo que les ofrece el vendedor. Si no tenemos una imagen clara de nuestros riesgos, estos estarán mas que encantados de fijarlos por nosotros, y lo único que tratarán es que se ajuste a su oferta de productos y no a lo que necesitamos realmente.

5.- Hay otros riesgos además del software poco robusto. No sólo hay que centrarse en las vulnerabilidades del software sino en las configuraciones débiles y en el usuario.

6.- La seguridad se ve supeditada al cumplimiento de las normativas. El cumplimiento de todas las normativas hace que las compañías gasten más de lo que deberían. Los vendedores se aprovechan ofreciéndonos productos que nos hacen compliance pero sin centrarse en los riesgos particulares de la empresa.

7.- Los puntos ciegos del proveedor han permitido las tormentas de botnets. Las botnets prosperan donde hay poca inversión para la innovación, como dice "se desayunan al antivirus", aprovechándose de nuestra confianza en estos cuando certifican que han pasado x test. No necesitan atacar las vulnerabilidades del código, sino que se centran en ataques basados en ingeniería social.

8.- El crecimiento en seguridad ha sobrepasado el "hazlo tu mismo". Tecnología sin estrategia es un caos, no nos pueden vender la idea de comprar y comprar más productos, instalarlos y luego olvidarnos de ellos.

Enlace: 8 Dirty Secrets of the IT Security Industry

Fuente:
Publicado por Laura García
http://www.securitybydefault.com



Otras noticias de interés:

Parche para Adobe Reader y Acrobat
Tras haberse reportado una vulnerabilidad crítica en Adobe Reader y Acrobat, Adobe aseguró que esta semana lanzaría un parche… Y lo han cumplido, desde este momento los usuarios de dichas aplicaciones en Windows, Linux y Mac ya pueden descargar ...
Mayor seguridad en las plataformas web con el servidor Sun Fire 280R
Los servidores incluyen el entorno operativo de Solaris y el software Sun ONE preinstalado. Sun ha lanzado el servidor Sun Fire 280R, como respuesta a las necesidades crecientes de mayor seguridad en plataformas de servicios web....
Desbordamiento de contador de referencias en PHP 4
Se ha descubierto una vulnerabilidad en las versiones 4.x de PHP que puede ser explotada por atacantes para saltarse restricciones de seguridad y con ello comprometer un servidor vulnerable. ...
Problemas de seguridad aplicaciones Facebook
El problema lo han detectado desde una empresa de seguridad, y ocurre solo en el acceso móviles a Facebook, y aunque en un primer momento parecía que afectaba a todos los móviles, las últimas informaciones nos indican que solo ocurre en los móvi...
Bug Zero-day encontrado en Adobe Flash
Los cazadores de malware han descubierto una vulnerabilidad del tipo zero-day en Adobe Flash. El problema ha sido añadida a la versión china del Mpack exploit kit y hay señales de que los explits están siendo inyectados en sitios web de terceros ...
Spammers rusos vulneran protección de Gmail
Tras la ruptura de la protección para el envío automático de correo desde las cuentas de Yahoo! Mail (enero de 2008) y Microsoft Live (principio de febrero), se supo que también ha sido vulnerado éste tipo de protección en el correo de Google (...
Hewlett Packard (HP) apuesta fuerte por Linux
Hewlett Packard lleva tiempo contribuyendo al movimiento Linux, pero el lunes pasado añadió un nuevo capítulo a su historia de adhesión al movimiento Open Source....
La World Wide Web cumple diez años desde su apertura al público
La red World Wide Web cumple el viernes 30 su décimo aniversario desde que fuera puesta a disposición del público por parte del Centro Europeo para la Investigación Nuclear (CERN), con sede en Ginebra. Asimismo, hoy también cumple una década el...
Los Hacker no solo hacen el mal "Descubrieron el Pass de Los Archivos de Noruega"
La contraseña era LADEPUJDNombre del autor escrito al revés, el instituto literario noruego que solicitó la ayuda de hackers para poder abrir una base de datos cuya contraseña fue llevada a la tumba por su autor. A los pocos días, un entusias...
Richard Stallman dice: Cloud Computing es una gigantesca campaña de marketing
El gurú nos advierte de lo peligroso que es el cloud computing el cual es promocionado por empresas como Google o Microsoft. La idea es tener clientes más ligeros y donde los programas son vistos como servicios online llevará a la gente a comprar ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • industria
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • oscuros
  • pgp
  • php
  • sabayon
  • secretos
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra