Seguridad de información

La seguridad de la información.

El tema del artículo es muy interesante ya que podemos observar diferentes aspectos del porque en muchas ocasiones los sistemas pueden ser propensos a tener vulnerabilidades causadas por los mismos usuarios, clientes, proveedores, etc…

En esta época en la que prácticamente en todas las empresas deben de tener sistemas informáticos para una gestión más productiva, en muchos casos en lo último que se piensa es en la seguridad de los mismos cuando debería ser uno de los factores más importantes, ya que si estos sistemas no son lo suficientemente seguros y tienen vulnerabilidades que en algún momento alguien de manera maliciosa puede explotar, se puede tener el riesgo de pérdida de información, caída en los servicios e inclusive en algunos casos dependiendo de la criticidad se puede ver afectada la operativa de forma parcial o total, lo cual representa pérdidas de una u otra forma.

En mi experiencia personal puedo comentar que regularmente los que solicitan algún tipo de software regularmente se preocupan más por las funcionalidades del mismo y los tiempos de entrega que por la seguridad, me llama la atención lo que comentan en el artículo “las empresas de software deberían contratar más probadores de software y menos (pero más competentes) programadores”, coincido con esta parte pero lamentablemente en un ambiente en el que se necesita que los programas se terminen lo más pronto posible la mayoría de las veces las pruebas son mínimas y están enfocadas en su mayoría a satisfacer los requerimientos funcionales del cliente, como lo observo regularmente únicamente envían los requerimientos y los tiempos de entrega pero la mayor parte de las veces el tema de la seguridad no es prioritario, más aun cuando los desarrollos son internos y no tienen alguna salida fuera de la red local, sin embargo en muchas ocasiones al dejar esto de lado se pueden dejar puertas abiertas para alguien dentro de la red que sabiendo hacerlo y con las herramientas correctas puede explotar esto para su beneficio es decir a un atacante interno.

Otra de las cosas que puedo comentar es cuando se adquiere software de terceros ya que cumple con los requerimientos para alguna función, regularmente al hacerlo no se analiza el tema de la seguridad, generalmente los clientes creen que de alguna manera esto ya fue probado y listo para salir a producción sin embargo sería importante investigar si estos programas ya fueron “testeados” de manera correcta,  ¿qué pruebas se les hicieron?, ¿requieren de algún ambiente en específico para ser seguros?, ¿los componentes no afectan otro tipo de sistemas?, etc…

Considero que sería importante que en los desarrollos o en la compra de software se especificara de manera clara las responsabilidades que tienen las partes derivado de alguna falla en la seguridad de los programas adquiridos, asi como de garantías en cuanto a vulnerabilidades que se puedan detectar ya encontrándose en un ambiente productivo.

Otro de los temas que se mencionan, son los mercados de vulnerabilidades, alguna ocasión asistí a una conferencia de Ciberseguridad en la que precisamente se comentó de los “mercados negros” de vulnerabilidades en los que se pagan cantidades importantes de dinero por encontrarlas, donde lamentablemente no son precisamente los compradores personas que los utilizan de buena fe.

En el mercado negro o Darknet, un exploit de ejecución remota de código para Microsoft Edge puede llegar a tener un precio máximo de 500,000 dólares, mientras que un exploit para WhatsApp en Android  tendría un costo mayor de hasta 1,000,000 de dólares, o un exploit para el sistema operativo iOS podría alcanzar los  2,000,000 de dólares en el mercado gris (brokers o intermediarios de exploits). Esto de acuerdo con las estimaciones de un informe elaborado por Tenable Research en 2019 que examinó cuán lucrativas pueden ser las vulnerabilidades, con un análisis detallado de la economía de la cadena de suministro de exploits.

...