Esa es una respuesta difícil.
El simple es “sí”. Pero la complicada es “sí, y esta es la causa de esas mayores brechas de seguridad …”
Creo que hay algunas cosas que están causando el aumento de las brechas de seguridad.
- ¿Cuál es el mejor software antivirus gratuito disponible para Windows?
- ¿Qué tan seguro es Java?
- ¿Qué debo hacer, ahora que mi información bancaria y personal está suplantada?
- En un Cisco ASA 5505, ¿cómo se aplican las reglas de firewall con una VPN configurada?
- ¿Cuál es la diferencia entre un correo electrónico cifrado y no cifrado?
- Dependemos de expertos en seguridad en lugar de administradores de sistemas con experiencia. Una certificación es una certificación. Significa que al menos podrías estudiar y hacer un examen. No te convierte en un experto en seguridad. Esto ha llevado a que los administradores de sistemas experimentados sean eliminados del proceso de seguridad en algunos casos. Siempre le digo a las personas que si desea aumentar la seguridad de su organización, aumente la cantidad de administradores experimentados que contrata (con más de 10 años de experiencia) y luego pídales que administren la seguridad.
- DevOps y desarrollo Agile / Scrum. No culpo a estos métodos, pero la idea de intercalar aplicaciones como un sistema y una integración continua, creo que es más probable que produzca fallas explotables en el código y, en el caso de algunos DevOps, significa que la aplicación es parte del sistema y si existe es una falla de la aplicación, entonces también hay una falla del sistema. Soy parcial ya que soy un tipo de sistemas el 90% del tiempo, pero algunos tipos de sistemas con experiencia que conozco han sido expulsados a favor de DevOps con menos experiencia. Si la seguridad es una preocupación principal, capacite a las personas de Sistemas para que sean DevOps y si el desarrollo es una prioridad, capacite a los Desarrolladores para que sean personas de sistemas. Para mí, eso funcionaría mejor que despedir a personas que conoces para contratar personas que no haces por algo relativamente “nuevo”. Integrar el desarrollo, las pruebas y el control de calidad y permitirte lanzar un producto imperfecto y permitir que los clientes envíen cambios de última hora también puede causar cierta inseguridad en el código.
- Los dos anteriores más el hecho de que las personas siempre tomarán atajos. Si los desarrolladores, los sistemas, las pruebas y el control de calidad pueden chocar entre sí en un plan de oficina abierta, les aseguro que se tomarán atajos. Pero, de nuevo, debe preguntarse “¿cuál es nuestra prioridad?” Si el desarrollo rápido está a cinco pasos de distancia y luego maneja los problemas de seguridad. Pero si está trabajando en un sistema de pago en línea con API de PayPal y tarjeta de crédito, es posible que desee hacer las cosas un poco más anticuadas y mantener departamentos separados. Es posible que no pierda la información de la tarjeta de crédito, pero podría perder una lista de clientes con mucha información de contacto. Eso siempre será más costoso a largo plazo que el dinero ahorrado en una tienda de DevOps / Agile / Scrum.
- El último se relaciona con el número 1 también. Los expertos en seguridad a menudo comenzaron como infractores de la ley. Pueden tener acceso a herramientas e información que a su Black Hat bete noir le encantaría tener. Hemos creído la propaganda de “piratas informáticos” de “se necesita un ladrón para atrapar a un ladrón” y hemos sufrido por ello. Aunque puede ser cierto, no hay una habilidad o poderes especiales que la criminalidad o la criminalidad pasada le otorguen a una persona. Es esta la razón por la cual el FBI no hace que los agentes federales de salvavidas trabajen para romper los anillos de salvamento. Los arrestan y los convierten en informantes controlados. Si alguna vez hay una purga de Gray Hat dentro de la industria de la seguridad, los incidentes de seguridad caerán. No estoy seguro de cuánto caerían, pero creo que sería notable.
