En mi opinión … ‘buenas intenciones’ y la sombra de TI.
Está bien, está bien, estos no son vectores de ataque, pero … mira, no puedes defenderte de todo. Si quieres una buena seguridad, te pones una armadura y construyes las cercas … pero exactamente -cómo- alguien va a tratar de entrar en tu infraestructura es completamente desconocido. Las hazañas más comunes, aparte de ‘no parcheste tus cosas, chico’ (¡todavía es la falla más común!) Son fallas en las personas y el proceso.
La tecnología es, según la seguridad, la parte más fácil. Hace lo que le dices. Las personas, por otro lado, son desordenadas. ¡Son personas!
- ¿Cómo se produjo el ataque WannaCry Ransomware?
- ¿Cómo se puede infiltrar en la censura a nivel de ISP?
- ¿Usar servicios como VeriSign aumenta la probabilidad de que el consumidor descargue su producto?
- ¿Qué incentivo obtiene la gente de crear virus informáticos?
- Cómo eliminar el ransomware Sage
A la gente le gusta ayudar a otras personas, a menudo aceptando las historias más débiles y usándolas como razones para ser altruistas. Dicen cosas como “¿qué podría doler?” Y “¡Seguramente están diciendo la verdad!” Y creen lo mejor en los demás. Esto no es algo malo, la mayoría de las veces … pero es algo que debes vigilar constantemente. El simple hecho de lanzar una política no significa que las personas lo estén haciendo, y si no educas más o menos constantemente, encontrarás personas que se detienen rápidamente para preocuparse por lo que les dificulta la vida cuando es una forma más insegura. de hacer las cosas levanta la cabeza.
Del mismo modo, la TI paralela (aquellos procesos y sistemas creados sin supervisión por personas bien intencionadas que evitan activamente algo que consideran demasiado oneroso o que crean un nuevo proceso para ser eficiente sin incluir a otros en esa decisión) crea vulnerabilidades de seguridad masivas y pueden eludir todo tipo de medidas de seguridad.
También somos culpables, te das cuenta. Nos enfocamos en la tecnología con exclusión de las personas, porque las personas son difíciles y la tecnología es fácil. Haremos mil cosas con la configuración, pero el entrenamiento es lo último que consideramos y lo último que queremos hacer. Sin embargo … una buena formación es la piedra angular de una buena TI. Construya todos los servidores proxy que desee, limite todo el acceso que desee, haga enojar a la gente … ¿pero les enseñe cómo ser buenos en esto de la seguridad? Bien. Entonces tienes algo con lo que trabajar.