Desde hace algún tiempo vengo interesándome cada vez más en los aspectos de la seguridad en lo que a sistemas e informática se refiere; y la verdad que el adentrarse en este mundo es a la vez fascinante y alarmante.
Resulta fascinante descubrir las ingeniosas e inteligentes soluciones que la mente humana va encontrando a los distintos problemas y brechas de seguridad que día a día surgen en este cada vez más complejo mundo de la informática.
No menos fascinante resulta descubrir las técnicas que se utilizan para realizar ataques y aprovechar vulnerabilidades. Si no fuera por el propósito que persiguen, realmente muchas serían dignas de admiración.
Pero lamentablemente resulta alarmante el nivel de desinformación y falta de consciencia con el que se trabaja muchas veces en los ámbitos de algunos centros de desarrollo y de sistemas que dicen tener en cuenta la seguridad de la información.
Me ha tocado ver como profesionales de la seguridad y tecnología informática desconocen ciertas herramientás básicas de seguridad y de diagnóstico. No me refiero a herramientas concretas con nombre y apellido, sino a tipos de herramientas genéricas que se deben utilizar para realizar ciertos tipos de dignósticos, los cuales son imposibles de realizar sin las mismas, lo que denota la falta de conocimiento del supuesto profesional del área.
También me ha tocado ver como se manipulan claves de acceso y llaves de acceso (archivos de claves privadas de tecnologías de criptografía asimétrica) como si fueran simples archivos de configuración, los cuales se entregan en CDs de instalación de aplicaciones como parte de los archivos de configuración, por lo cual un número no determinado de gente tiene acceso a la clave o llave prívada que permite a ese mismo número indeterminado de gente hacerse pasar por la empresa que distribuye estos CD.
No pienso revelar bajo ningún concepto cuales son estas empresas, porque esto no haría más que agravar el problema, pero realmente me alarma la liviandad con la que se tratan los temas de seguridad, los cuales muchas veces son dejados de lado para lograr que algo funcione, sin inportar cuanto se comprometa la seguridad al hacerlo.
Quienes me sigan en el blog y el podcast, seguramente sabrán que le doy mucha importancia a la seguridad, al punto tal de llevar mi pendrive encriptado, o tener una VPN para acceder a mi red remotamente en forma segura. Todo esto no para esconder algo, sino porque simplemente tengo derecho a conservar mi privacidad y me valgo de todos los medios disponibles para hacerlo.
Es por todo esto que no puedo entender que si yo, un simple usuario tal vez avanzado, tengo acceso a lograr el grado de seguridad que he logrado, del cual me siento orgulloso y me hace sentir muy seguro, como puede ser que las empresas tomen esto de forma tan poco seria y le den tan poca importancia y tengan brechas de seguridad que claramente denotan su falta de conocimiento sobre el tema.
Completamente de acuerdo con tu reflexión. Creo que muchas empresas invierten mucho más tiempo en ver de qué manera vender sus productos (exagerando sus características en la mayoría de los casos) que en realmente desarrollar aplicaciones seguras y funcionales. A menudo el dinero es más importante y lo demás es secundario.
comentario por Juan — Mayo, 11 2008 @ 9:31 am
Juan, como bien decís muchas veces es con el afán de ganar dinero, pero a veces es peor, es solo desidia o desinterés por el trabajo que se está realizando, también podríamos decir falta de profesionalismo.
comentario por pablotrin — Mayo, 11 2008 @ 9:18 pm
[...] si, en este episodio vamos a tratar el tema de la conciencia de seguridad. Hace unos días postee algo sobre el tema y ahora decidí transformarlo en un episodio del podcast. ¡Espero sus [...]
Pingback por el podcast de pablot - Episodio 10 - tomemos conciencia por favor « BlogPandora: el blog de pablot — Mayo, 21 2008 @ 1:05 am
Hola, escuche tu comentario sobre SEGURIDAD, adelante este es un muy importante tema, agradeceria me ayudaras con direcciones que me permitan adquirir conociminentos sobre el tema.
Te sigo desde Costa Rica
Saludos
comentario por henry007 — Mayo, 22 2008 @ 4:01 pm
Hola henry007, la verdad que no tengo sitios preferidos de seguridad, en realidad te recomiendo que uses al querido Google para buscar lo que te interese.
Se que no es la respuesta que esperabas, pero para mi lo mejor es buscar lo que un quiere saber. Lamentablamente no vas a encontrar un manual o un HOWTO para convertirte en experto en seguridad.
comentario por pablotrin — Mayo, 22 2008 @ 6:03 pm