Mar 23 2015

Sobre mi participación en MorterueloCON 2015, e info sobre QurtubaCON (Córdoba, 10 y 11 de abril, inscripción gratuita)

MorterueloCON-2014Como los más cercanos sabéis, el mes pasado repetí participación en MorterueloCON tras una gran experiencia en 2014. Esta vez no iba a ser menos y todo fue sobre ruedas. Y digo eso y no “sobre raíles” porque el único punto negativo fue el viaje. Algo achacable a RENFE por su falta de información y mala gestión de un incidente (temporal de nieve) que si bien es inevitable, debería ser cuanto menos “gestionable”. Pero de las comunicaciones de Asturias con la meseta qué os voy a contar…

Dicho esto, en Cuenca combatimos el frío invernal con calor humano. De eso hubo a montones, también ganas, capacidad e ingenio. Tuve la oportunidad de asistir a las diferentes ponencias de mis compañeros en la Universidad Politécnica y que queréis que os diga, se aprende mucho, coges ideas y te pones al día. Si tenéis la oportunidad de asistir a algún evento de este tipo, no dejéis de hacerlo y más si como en el caso de MorterueloCON, es gratuito.

Gratuito para los asistentes que no para quienes lo organizan. Gran trabajo del pulmón de esta CON (Rafael Otal) y todo su equipo. Una vez más lo han hecho posible y en lo personal, no pude sentirme más respaldado ya que se acercó hasta Cuenca Destroyer con Inma. Uno de los grandes “culpables” de daboweb.com, cajondesastres, etc. Información y PDF (actualizado) como apoyo al taller.

Todo pintaba bien y faltaba ver si se cumplían los objetivos que me había marcado para mi taller: “Hackeando Servidores GLAMP”. Con una veintena de alumnos y 4 horas por delante, fuimos repasando configuraciones esenciales de un Servidor basado en Debian, simulando diferentes escenarios. Ataques DoS, fuerza bruta, escaneos de puertos, revelación de información sensible, etc. El resultado final fue que aprendimos y nos divertimos todos, por lo que me vine a Gijón con un gran sabor de boca. Debajo una foto que hice a parte del grupo de colegas y también adjunto en un album otras que fui publicando en tiempo real en mi Twitter.

morterueloCON_2015

qurtubaCONAhora toca repetir en Córdoba en la QurtubaCON los días 10 y 11 de abril (donde por cierto necesitan patrocinadores tal y como os contamos en Daboweb hace unos días). Estaré en representación de APACHEctl impartiendo en la Universidad otro taller sobre Seguridad y Servidores Web. Ya está desde hace 30 min abierta la inscripción a los diferentes talleres (gratuitos también) y en este momento hay más de 400 personas inscritas. Allí nos veremos -;).

Muchas gracias a la organización, participantes y resto de ponentes por el trato y cercanía, también a todo el personal de la Politécnica de Cuenca y a ese taxista “anónimo” que fue algo más rápido de lo normal para llegar a tiempo a la estación y no perder el Alvia. También a la gente de “Makindos” (que no DoS, muy adecuado el nombre por cierto;) que estuvieron realizando varias entrevistas sobre Seguridad y Privacidad ya disponibles online.

A continuación, la galería de Twitter:

Leer el resto de;”Sobre mi participación en MorterueloCON 2015, e info sobre QurtubaCON (Córdoba, 10 y 11 de abril, inscripción gratuita)”

Tags: , , , , , , , , , ,


Ene 22 2015

Participando en el curso: “Seguridad en el Desarrollo Web” de escuela IT

Category: GNU/Linux,Hacking | Redes,SysAdmindabo @ 9:52 pm

Escuela ITEl martes pasado, estuve a modo de presentación del curso en un Hangout junto a mis compañeros de APACHEctl  Aj y Oreixa, con Miguel Ángel Álvarez , responsable de Desarrolloweb y escuela IT (el año pasado hicimos otro sobre WordPress).

Se trataba de un #ProgramadorIO con el título: “Desarrolladores Vs SysAdmins“. Allí hablamos de problemas comunes de nuestros clientes de APACHEctl que se dedican al Desarrollo, poniendo una atención especial en la Seguridad.

Y hablando de seguridad y servidores, estaré mañana viernes y el lunes 26 impartiendo dos clases del curso “Seguridad en el Desarrollo Web” de Escuela IT (aún hay alguna plaza si estáis interesados). En mi caso, hablaré en una de las clases de configuraciones de Apache inadecuadas y ataques DoS, y en la otra de ataques y defensas básicas en Servidores GLAMP.

Podéis consultar el programa completo en PDF, o pasaros por la web del curso si queréis más información.

Tags: , , , , , , , , ,


Oct 09 2014

Sobre mi colaboración con la Universidad de Deusto y su postgrado en Seguridad Informática

DESI Seguridad DeustoPor poneros en antecedentes, comentaros que este pasado verano, he tenido el placer de impartir el módulo de “Seguridad en Servidores Web” del antiguo “MUSI” (Máster en Seguridad de la Información) que ahora pasa a denominarse “DESI” (Diploma de Especialización en Seguridad de la Información).

No puedo estar más agradecido con el trato, la flexibilidad y confianza depositada. Había una hoja de ruta que cumplir, e intenté en colaboración con Carlos Laorden, Borja Sánz y Patxi Galán, preparar un temario lo más actual, real o “aplicable” posible. Hace unos días me han confirmado que pronto lo impartiré de nuevo, y estoy encantado de volver a mi Bilbao natal a repetir la experiencia.

Otros profesores y colaboradores habituales, son gente que conocéis muy bien los seguidores del blog. Hablo de grandes profesionales y amigos como David Barroso, Josean Koret o “Txipi”, a quien tuve el placer de conocer personalmente en mi paso por s3lab de Deusto.

Un lugar el S3lab en el que cuando entras allí (teniendo en cuenta el panorama actual) y ves los proyectos que llevan adelante, percibes algo que te suena tan lejano como “eso del I+D“. Podéis ver su presentación.

Con la resaca y éxito de Navaja Negra (abrazos:) y a dos semanas para que viaje a Jaén y repita también en ConectaCON (muchas ganas, el lunes amplío info en otro post) esta vez impartiendo el tallerHackeando Servidores GLAMP“, me ha venido muy bien leer de nuevo a Patxi y sus dos entradas sobre mi colaboración con Deusto. Tanto para repasar algún tema que tocaré en Jaén, como para ver con los ojos de quien estaba al otro lado de la sala lo que mostré allí, por aquello tan sano de no perder la perspectiva.

Patxi asistió a mi módulo como alumno, y fue una suerte contar con él realizando ciertos ataques que requerían algo de colaboración, al llevar una propuesta formativa con un enfoque que los que me conocen saben que suelo poner en práctica.  “Demo” total y servidores en producción para ver datos reales.

Cierto es que en mi día a día dentro de APACHEctl, realizo ese tipo de tareas de auditoría cambiando el lado o el color según necesidades (ataque y defensa), pero no es lo mismo transmitirlo a otros y lógicamente, uno siempre quiere aprender y mejorar.

Es por ello que me quedo con estas palabras de Patxi:

Al final, a lo tonto, aprendí bastante sobre los servidores, el poco tiempo que se les dedica para ponerlos en condiciones, lo sencillo que es configurarlos, los diferentes tipos de ataques que se realizan contra ellos y los potentes y necesarios que son los sistemas de logs.

También aprendí bastante sobre las diferencias entre los tipos de servers, conceptos como escalabilidad o disponibilidad y la importancia tanto de elegir una buena base para el servidor en el proceso del desarrollo web, como la importancia de saber auditar no sólo de forma externa mediante herramientas Software, sino también configuraciones críticas del server.

No sabes Patxi lo importantes que son para mi, lejos de autobombos y miradas hacia el ombligo. Daremos el objetivo por cumplido, y ahora sólo pienso en mejorar de cara a la siguiente vez allí. Lo dicho, un placer y muchas gracias a los responsables y alumnos por ayudarme tanto impartiendo mi módulo -;).

Sin más, os dejo con sus posts: “Auditando un Servidor con Dabo” Parte IParte II.

(Actualización 12-10-2014) Muchas gracias a toda la gente del S3 por vuestras palabras !

Tags: , , , , , , , , , , ,


Feb 21 2014

Webcast en EscuelaIT con Oreixa sobre seguridad y WordPress

Seguridad en WordPressDentro del ciclo de cursos gratuitos que viene poniendo en marcha EscuelaIT, había un módulo dedicado a cuestiones de seguridad en el dedicado a WordPress. Miguel, responsable de Desarrolloweb y cliente nuestro en APACHEctl además de buen amigo, nos pidió que participásemos en él y allí estuvimos Oreixa y yo (AJ no pudo porque andaba a full en un servidor) con casi 200 alumnos online muy interesados en la temática, junto a parte del staff de Escuela IT. (Actualización julio 2014, buen resumen en Desarrolloweb).

Para los que les van los detalles más técnicos (y porque alguno me lo ha comentado;), en mi caso es cierto que el audio sale un tanto bajo. Estaba conectado desde la Galaxy Tab 2 con el cliente GoToMeeting, y compartía la pantalla de mi Debian o la máquina virtual de Kali que lancé en la demo, a través de Teamviewer por la pantalla de Miguel. Por el momento, esta tecnología de Citrix no es compatible con GNU/Linux.

La demo que realicé, es similar a una de las tres partes de lo expuesto en la de MortuerueloCON. Sobre las herramientas o extensiones que se pueden ver en el vídeo me habéis preguntado varios de vosotros y están recopiladas en esta otra entrada sobre mi participación en MortuerueloCON 2014.

Muchas gracias tanto a los responsables de Escuela IT como a toda la gente que estuvo conectada por hacernos un hueco en el módulo de WordPress (especialmente a Francisco por prestarse a analizar su sitio). Obviamente, no era plan de poner en marcha técnicas o herramientas más intrusivas para los sistemas (y menos sin autorización) de ahí que me centrase en el navegador, whatweb o wp scan, ya que tal y como están las leyes hoy en día, la nuestra es una profesión de riesgo.

Leer el resto de;”Webcast en EscuelaIT con Oreixa sobre seguridad y WordPress”

Tags: , , , , , , , ,


Ene 07 2013

Hacker Épico. Crónica de una novela (negra) anunciada

Category: Dabo | Personal,Hacking | Redes,Prensa | Librosdabo @ 2:10 pm

Hacker Épico el libroTenía en “pendiente” dejar aquí mi opinión sobre “Hacker Épico”. Esta era una novela anunciada / esperada (año 2010) hace tiempo, tras el lógico proceso de creación y por sorpresa, vio la luz, pero no en un formato “tradicional”.

Muchos, cuando nos enteramos que Alejandro (Ramos) iba a hacer realidad una de esas cosas que el que suscribe “algún día” llevará a cabo, teníamos claro que sería un libro con una calidad técnica fuera de toda duda y para comprar “sí o sí”, pero…

Pero con lo que no contaba (error de cálculo) es que me sorprendiese como lo hizo…El prólogo de Yago (Jesús) ya era sinónimo de calidad. ¿El motivo? si le conoces, sabes que por muchos lazos que le unan con el autor no es de halago fácil (es muy amigo de sus amigos, pero coherente).

Y es que de pronto, el Hacker se hizo escritor…(y me hackeó;) como no podía ser de otro modo haciendo honor al título del libro. Un Defacement en toda regla y llevado a cabo con éxito en unas pocas horas (casi lo termino del tirón, dejé una sesión para no emborracharme con tanto Hacking).

Hablando del “ataque”, estuvo co-patrocinado por Rodrigo Yepes (luego, cuando lees que sus referencias literarias son Raymond Chandler, Dashield Hammett o James Ellroy, ya empiezas a comprender…). Y si a todo esto le añadimos que la release (del exploit) fue liberada por el Maligno Team de “un tal / muy grande” Chema (Alonso) el resultado se llama “Hacker Épico”.

Una novela negra como el fondo de mi consola, arriesgada como lo hace su protagonista (Ángel Ríos) por esa Yolanda que todos llevamos en nuestros recuerdos y con olor y sabor a Hacking del bueno. Recomendable para profesionales y aficionados a la (IN) Seguridad que quieran tanto refrescar conceptos, reforzarlos o aprender algo nuevo como me ha pasado a mi en varias ocasiones (USB o PDF en entornos Windows por citar dos ejemplos que me vienen a la memoria). A todo no le puedes dar y para mi el libro quedará como material de referencia de cara a un futuro que puede ser “ahora”.

Pero también para educadores, colegas de otras ramas que confluyen (ISO, LOPD, TIC, abogacía, etc), bloggers que escriben sobre tecnología. periodistas “supuestamente especializados en el género” (quizás ayude a que hablen con propiedad de temas que alguno “destroza”), desarrolladores que se interesan por escribir un código seguro, o cualquier usuario con un perfil medio o bajo en cuanto a lo técnico en cuestiones de seguridad, que esté interesado en saber a todo lo que se enfrenta cada vez que inicia una sesión en su equipos hablando de móviles, fijos, portátiles, entornos web, redes Wi-fi y todo lo que sea compatible con TCP-IP y un montón de RFCs.

En este aspecto es muy revelador, ya que el que no está metido en el mundillo, imagino que aún no comprendiendo alguna técnica expuesta en el libro o vector de ataque (que por cierto, se explican muy bien en muchos casos y en otros las pinceladas bastan) ve un compendio de situaciones por las que podría pasar a lo largo de su vida (o ha pasado sin saberlo).

Todo ello en medio de una trama que engancha, con un guión lleno de pequeñas y grandes sorpresas que pide a gritos una segunda parte. Alejandro tenía dudas sobre la acogida de “Hacker Épico” y creo que mejor no ha podido ser. Dentro de lo que es la novela negra en general, está claro que puedes encontrar libros mejores, si nos vamos al lado más técnico, hay material para aburrir (o enseñarte mucho), pero… después de haber buceado por parte de mi biblioteca tanto “física” (ahí faltan casi otros tantos) como digital (cientos, contando papers en PDF) no he encontrado ninguno como este.

Me atrevería a decir que o bien han reinventado el género, o yendo más allá, directamente y haciendo un símil con mi querida montaña, abren una nueva vía de ascensión en un terreno ya conocido, pero que en mi opinión, necesitaba un nuevo enfoque. En definitiva, la apuesta era fuerte, Alejandro se la jugó y el resto de la historia ya la conocéis… (haced una búsqueda en Google y os daréis cuenta).

En el reparto del premio creo que hemos salido ganando todos. Luego si navegáis por el sitio web del libro /* Alerta Spoiler en alguna sección */, te das cuenta del enfoque tan abierto, dejando todo tipo de enlaces e información sobre los recursos mencionados en él.

Hacker Épico

Para acabar, dar las gracias a los tres por esa dedicatoria, los 100 primeros llevaban la firma de los autores, en el mío están tanto Alejandro (esa referencia a mi Debian OMG;) como Rodrigo (más que útil) y se coló por sorpresa Chema (lo seré pero no puedo llegar a tu nivel ;D;). Cuando vaya a Madrid, le pediré a Yago que me deje unas líneas y de ese modo, el libro será más épico aún. Y es que alegrarte de los éxitos de gente a la que aprecias y admiras por su trayectoria es muy humano.

El único disclaimer de esta critica (en la web han habilitado una sección) puede ser:

Léase teniendo en cuenta que está escrita entre dosis de amistad, admiración y cercanía, pero con la mayor objetividad posible“.

Eso sí, con este libro no busques fórmulas mágicas, este es un camino largo, de paso firme y constante, pero “Hacker Épico” será sin duda un buen compañero de viaje. ¿Destino? el tiempo lo dirá, saqué un billete de ida, no sé si llegaré pero no hay retorno -;).

Pronto os dejaré unas líneas sobre otro que en ocasiones he citado, firmado por el gran Claudio Caracciolo (gracias !)

Tags: , , , , , , , ,


Dic 27 2012

Sem 51/2012. En Twitter –> GNU/Linux | Hacking | SysAdmin.

En mi TwitterA continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS o Twitter ) publico regularmente y junto a mis compañeros, nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 51/2012: (Anteriores).

(Del 17 al 23 de diciembre) Primero van los más recientes.

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,


Sep 06 2012

En vacaciones, cuidado con las autopistas… (de la información)

Esta entrada se ha publicado originalmente en el blog INTECO dentro de la campaña “verano seguro”, os recomiendo leer los últimos post publicados sobre el tema.

Por otro lado, como muchos ya sabréis, procuro hacerme eco tanto de recursos, como de cuestiones de seguridad en mi cuenta de Twitter y os recomiendo estar al tanto de lo que vamos publicando en Daboweb (también puedes seguirnos en Twitter).

Aprovecho la ocasión para comentaros que pronto habrá un nuevo episodio del podcast pasada esta época estival, mirad a modo de ejemplo Forat y su “Radial Rack” ;D.

En Verano, cuidado con las autopistas (de la información)

En tus vacaciones, presta atención al estado de esas autopistas por las que viajan nuestros datos y “teclea con seguridad”. También vigila por dónde navegas, no pierdas el rumbo ni las buenas costumbres necesarias para llegar a buen puerto y de ese modo, tener un viaje de vuelta sin sustos. Corren tiempos de una gran actividad en las diferentes redes sociales, también crece la necesidad de compartir tanto ubicaciones como fotografías o experiencias vividas en excursiones y viajes con nuestro círculo más cercano, esa combinación, unido a la “euforía estival”, puede hacer que nos conectemos “con lo que sea y desde donde sea” a Internet.

Ordenadores con dudosas medidas de seguridad implementadas y en ocasiones, con un registro de sitios web y datos de navegación visitados, como puede pasarte en un ciber o en el hall de un hotel. Son momentos donde se tiende a bajar la guardia y con tu conexión de datos cancelada temporalmente, o el “síndrome sin 3G”, esa red wi-fi de la que en condiciones normales dudarías, la ves más amigable y ahí pueden empezar tus problemas.

Recuerda que cualquier dato es susceptible de ser capturado si estás conectado a una red compartida (o no), medidas como utilizar siempre una capa de cifrado en tus conexiones (SSLTLS, SSH, SFTP, etc), usar el modo de “navegación privada” en tu navegador, unos passwords fuertes y que no sean los mismos en múltiples sitios, etc, te ayudarán a gozar de una privacidad mayor, pero de poco te servirán si ese equipo o conexión ya está comprometida por alguna botnet, troyano, keylogger o hay un sniffer almacenando trazas de red en esa wi-fi “envenenada”. Sí, aquello del sentido común, sigue siendo el mejor de los consejos a pesar de las reiteraciones.

Es muy habitual llegar a un equipo compartido y ver sesiones abiertas en el correo o sitio web de turno, también se incrementan las infecciones en dispositivos USB o tarjetas de memoria por ejemplo descargando fotografías y los ataques por ingeniería social van en aumento. Esa ausencia vacacional puede ser el momento ideal para intentar engañar al personal de tu empresa para conseguir información sensible de la misma, aprovechándose de algún dato que hayas podido publicar en un blog o la Red Social de turno. Es por ello que no está de más dejar marcadas unas directrices o pautas de actuación mientras estés en ese estado de desconexión que al final no lo es tanto (aquí volveríamos al primer párrafo).

Es importante que alguien de tu círculo de confianza si llevas adelante algún sitio web, o tu negocio se basa en Internet, pueda acceder a ese entorno caso que suceda algún problema o caída en el servicio. Del mismo modo, extrema las precauciones cuando regreses ya que es probable que a tu sistema o aplicaciones, le falten algún parche de seguridad publicado en tu ausencia. Abre con precaución los correos acumulados aún siendo legítimos y si usas alguna solución anti-malware,, asegúrate también de que sus firmas de detección estén al día antes de realizar cualquier operación con el equipo.

Para terminar no te olvides de los backups, que como las bicicletas, también son para el verano… Por lo que a disfrutar y “tengan cuidado ahí fuera” ;).

Tags: , , , , , , , ,


Oct 04 2011

Sobre mi participación en la “Jornada de Seguridad Informática” de Area Tic

Category: Hacking | Redes,Mi Opinión,Seguridad Informaticadabo @ 10:10 am

Hace unos días, tuve la oportunidad de participar en la “Jornada de Seguridad Informáticaorganizada por “Area Tic” en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la “reputación online” y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del “mundo blog” como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el “Social Media” o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por “ingeniería social” con el fin de conseguir el código de desbloqueo a un “Smartphone” supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de “Comercio electrónico” y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un “vacio” entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación “real” ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series “27000”) por aquello de “conseguir la certificación”, habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse “sustos” y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un “cerrojazo” por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); “Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa“, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como “Recursos Humanos”, donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone “hacer click” en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir “por que sí” y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos “los deberes hechos” y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan “romper” mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo “vivo” que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad “real” y actual como apoyo a las diferentes empresas de certificación / adecuación.

 

Tags: , , , , , , , ,


Página siguiente »