BUEN DIA A TODOS Y BUEN INICIO DE SEMANA... YA K EN ESTA PAGINA SE CRITICA, HABLARE DE ALGO K CREO ES INTERESANTE RESPECTO A ESTE TEMA DE LOS VIRUS Y COMO DICE UNO DE LOS COMENTARIOS, VAYA HUEVOS K TIENE, Y RELAMNETE ES MUY CIERTO, -BUENO LAS EMPRESAS PRINCIPALMENTE, LO USUARIOS MAYORITARIOS- GASTAN MUCHO DINERO EN PROTECCION PARA SU INFORMACION, CONTRA GUSANOS, TROYANOS, MALWARES Y TODO TIPO DE VIRUS Y REALMENTE NINGUNO SATISFACE AL 100%, PUES COMO TODO NEGOCIO TE LO VENDES EN PARTES, UNO TE PROTEGE PARTE DE TU PC, SI QUIERES PROTECION DE INTERNET COMPRAS OTROS SOBRE EL MISMO PROVEEDOR, Y TENER EL PACK COMPLETO PARA GASTAR UN BUEN $, PERO BIEN AKI LES DEJO ESTA NOTICIA EN 3D LA CUAL COPIO TAL CUAL...
Veo vía Slashdot que Peter Tippett, el inventor del programa que dio lugar al Norton AV y científico jefe de la ICSA, ha hecho unas controvertidas (y para mi interesantes) declaraciones diciendo que un tercio de las prácticas aplicadas en el campo de la seguridad son inútiles y están basadas en conceptos desfasados que no son válidos en la informática actual. "Es como si se creyese en las empresas de seguridad que la tierra es plana, y debemos empezar a verla redonda".
Continúa diciendo: "hoy en día la industria se centra en búsqueda, testeo y parcheo de vulnerabilidades, cuando sólo un 3% llegan a ser explotadas". Y pasa a hacer diversos paralelismos entre la industria de la seguridad informática con la industria de la seguridad del automóvil, "si yo me sentase en la ventana de un edificio, podría pensar en lanzar una flecha a través del techo solar de un Ford y matar al conductor, vale, no es muy coherente, pero es posible. Si descubro esa "vulnerabilidad", ¿no debería llevar ese techo solar un dispositivo que rechace la flecha? Y los otros investigadores podrán encontrar vulnerabilidades parecidas en otras marcas y modelos. Como es potencialmente mortal para el conductor la marcamos como crítica. Se ha invertido mucho esfuerzo en esto, pero no va a ayudar a la seguridad en el automóvil. Similarmente, muchas estrategias de seguridad se basan en el concepto de defender un sólo ordenador, más que en una red de ordenadores".
También sugiere que se pierde el tiempo en desarrollar defensas 100% seguras, "si un producto informático puede ser burlado, se desecha; pero los cinturones de seguridad sólo previenen en un 50% de los accidentes, ¿son por eso inútiles?. Los productos de seguridad no han de ser perfectos para ser útiles". Este concepto también lo aplica a los procesos que rodean a la seguridad, "hay una creencia popular que si se hacen ciertos pasos como actualizar el sistema para parchear vulnerabilidades y tener actualizado el software anti-virus, mi organización será más segura. Pero hay estudios que demuestran que no hay una relación directa entre seguir estos pasos y la frecuencia de incidentes de seguridad".
"No siempre mejoras la seguridad de algo haciéndolo mejor, si hacemos unos cinturones de seguridad de titanio en vez de nylon serán más resistentes, pero en realidad no mejorará la seguridad del conductor. Los equipos de seguridad deberían replantearse en qué gastar sus esfuerzos y tiempo y enfocarse en medidas que pudieran hacer aumentar sus dividendos". Y por último termina con la siguiente reflexión: "la formación de los empleados a veces es un desperdicio por que no altera el comportamiento de los empleados que la siguen, pero si puedo reducir mis incidentes de seguridad en un 30% con un programa de seguridad de 10.000$, no es más sensato gastarme un millón en una mejora del software antivirus si va a reducir un 2% esa cantidad de incidentes".
No hay comentarios.:
Publicar un comentario