Bruce Schneier, el “guru de la seguridad” y CTO de BT Counterpane, dijo en la conferencia de RSA de Europa esta semana que “El simple hecho de que exista esta conferencia es un problema. Ustedes no deberían de tener que venir a un show como este nunca”.
En su presentación nos recuerda que no debemos de confiar en los que los vendedores de productos de seguridad nos dicen sobre sus productos, esto se debe en parte a cuestiones políticas, legales o de mercadotecnia. Aunque esto tal vez no les parezca una novedad, la realidad es que la mayoría de la gente al comprar un producto de seguridad simplemente compara lo que cada vendedor dice sobre su producto, sin ir más allá.
El gran problema para los compradores es que no tienen los suficientes datos para determinar la seguridad de un producto. “Si los eventos hacen gran daño y son eventuales es difícil obtener datos. No voy a saber (la validez de un producto) porque no tengo los datos necesarios”. Y como los vendedores saben mucho más que los compradores se crea un mercado asimétrico.
Así que por ejemplo dos productos pueden tener las mismas funciones, los mismos algoritmos y las mismas palabras clave de mercadotecnia, sin embargo uno está bien hecho y el otro no y la gente acaba comprando el más barato porque parecen ser iguales. También como nos recuerda Schneier “Muchas veces tienes un buen productos pero no funciona bien, ya sea porque está mal configurado, mal instalado, no está actualizado y entonces tiendes a tener un falso sentido de seguridad”.
Los gastos en seguridad informática hacienden a los billones de dólares, año con año pagamos por productos o servicios que en teoría deben de hacer nuestros sistemas más seguros. Pero de acuerdo con Schneier todo este dinero se está gastando en arreglar problemas que no deberían existir en un principio. En un artículo reciente en la OutlookBusiness, Schneier propone que los vendedores agreguen una clausula de responsabilidad de tal manera que los CEOs de las compañías destinen más dinero a crear productor más seguros.
El problema que trata de resaltar es que día con día los vendedores agregan más funciones a sus productos sin preocuparse por la seguridad de los mismos. Y entre más funciones tiene más probabilidades de encontrar agujeros de seguridad. Así que, si las empresas son responsables por la seguridad de sus productos, pasarían más tiempo revisando y corrigiendo los problemas en sus productos que sacando nuevas funciones que lo hacen más inseguro.
Sobre esta misma idea habló Lord Alec Broers, quien es el director del comité de ciencia y tecnología del House of Lords , quien sugirió que todas las compañías desde los vendedores de sistemas operativos hasta los vendedores de aplicaciones y los proveedores de internet, necesitan tomar mayor responsabilidad en la seguridad de los usuarios. Sin embargo Art Coviello el presidente de RSA nos advierte que entre las consecuencias de hacer responsables a los vendedores, está la de frenar la innovación, pueden ver un video de una entrevista al respecto aquí.
En general lo más importante es que recordemos buscar otras fuentes de información para tomar decisiones acerca de un producto. Lo mejor es buscar a alguien de confianza, ya sea un consultor, una empresa integradora de sistemas, o similar pero que tengamos confianza en que va a darnos una solución correcta. Claro que sin importar que tan seguro hagan un sistema, los usuarios siempre van a encontrar la manera de configurarlo mal, la cuál es casi una ley en la computación hoy en día.
Aparte de la presentación de Schneier otra de las presentaciones interesantes fue la de Frank Abagnale, el famoso falsificador de la película “Atrápame si puedes”, quien hablo sobre el nuevo esquema de tarjetas de identidad del Reino Unido.
Una de las grandes ventajas de asistir a eventos como el RSA es la oportunidad de platicar con colegas sobre los productos que han usado y ver que funciona y que no, de esta manera obtienes una opinión mucho menos tendenciosas que la de los vendedores. También hay varios expertos que presentan sus resultados o con los que se puede conversar en estas conferencias, y que por el hecho de que trabajan en la academia no tienen ninguna agenda en especial y nos presentan análisis más serios sobre los productos.
Así que hay que agendar la próxima RSA en San Francisco que va a ser del 7 al 11 de Abril de año que entra. Por mientras, busquen alguien de confianza antes de hacer cualquier compra de producto o servicio de seguridad.
No hay comentarios.:
Publicar un comentario