A2A
No participo personalmente en un trabajo de seguridad de TI ya que actualmente soy estudiante, pero sí ayudo con el servicio de asistencia de TI de la Universidad y, como tal, tengo algunos conocimientos sobre el tema. También tomé algunas clases. Quería asegurarme de que esté al tanto de que esta no es una opinión profesional, ya que los otros que respondieron parecen sostener, pero conozco algunos aspectos del campo, estoy un poco involucrado y me pidieron que respondiera, así que haz mi mejor esfuerzo
Lo más importante que se me ocurre es que el mayor enemigo de la seguridad es la complacencia. Cuando el desarrollador que diseña e implementa un sistema de seguridad se vuelve complaciente, deja agujeros en el software. Cuando los usuarios se complacen, ignoran las reglas que les da TI. Cuando la gerencia se vuelve complaciente, eliminan esas reglas o no castigan a quienes las infringen. Podría seguir, pero entiendes el punto.
- ¿Qué tan bien funciona el cifrado de disco completo en los modos de bajo consumo o de suspensión?
- Cómo convertirse en un experto en piratería informática
- Cómo resolver un error humano de ciberseguridad
- ¿Alguien más ha tenido un sitio web de WordPress pirateado por el Dr. SiLnT HilL?
- Si se usa un virus informático para sabotear un sistema, ¿quién es culpable, el autor original del virus o la persona que lo plantó?
Un ejemplo de esto en lo que puedo pensar es una compañía que mi clase entrevistó para un proyecto una vez. No tenían capacitación en Ciberseguridad ni TI dedicada. Sus equipos de TI y programación eran los mismos equipos. Esto los llevó a ser un poco más conscientes de la seguridad de lo que muchos podrían ser, pero menos de lo que realmente es necesario. De hecho, puede haber sido peor que muchas compañías simplemente por la forma en que implementaron su seguridad. Ha pasado aproximadamente un año desde la entrevista y el proyecto, por lo que me equivocaré con algunos de los detalles, pero en general esto está bastante cerca de su política de seguridad real.
- Para ahorrar tiempo y dinero, todos usaron la misma cuenta para iniciar sesión en todo.
- Su código estaba protegido con contraseña, pero en un proyecto de github listado públicamente.
- Todas las contraseñas se almacenaron en lastpass, pero cada empleado inició sesión en la misma cuenta de lastpass para obtener dichas contraseñas, ya que todas compartieron la misma cuenta. Esto significa que el interno de nuestra clase que nos consiguió la entrevista pudo ver la información de inicio de sesión para el correo electrónico del CEO y el software de finanzas del CFO.
- Algunas otras cosas que estoy olvidando
- Sin embargo, lo peor de todo … la contraseña de dicha cuenta de lastpass … ¡era el nombre de la compañía! Almacenaron la contraseña en cada cuenta que toda la compañía usó detrás de la contraseña más obvia que alguien podría probar. Una vez que supiera que tenían un último pase, simplemente puede iniciar sesión utilizando la dirección de correo electrónico que figura en su sitio web y el nombre de la empresa y obtener acceso a TODO desde el código de la empresa, a su información financiera y cuentas bancarias, al CEO e- correo, todo! Ni siquiera preguntamos cuál era la contraseña durante la entrevista, ¡simplemente nos dijeron que era el nombre de la empresa! Frente a unos 20 estudiantes de ciberseguridad, esencialmente regalaron todo lo que la compañía había construido durante los últimos 2 años desde su fundación. El pasante de nuestra clase que nos había dado la entrevista se quedó con la boca abierta y dijo en la próxima sesión de clase que había estado tratando de hacer que cambiaran su configuración durante meses, pero no lo harán ya que es así de fácil.