fernandosaenz.com

Pursuing the gold hidden behind raw data


Bienvenido/a,

No te voy a mentir, esto es un blog técnico, aunque no trata sobre tecnologías específicas. Expongo la motivación que hay detrás del diseño de cada sistema, y sus resultados. No voy a darte una explicación técnica de cada tecnología que diseño o utilizo. No vamos a "ver las tripas".

En estos últimos diez años, en los que he ejercido de gerente, he podido ver cómo la explotación inteligente de datos mejora de forma notable los resultados en diferentes ámbitos de la empresa. En este blog comparto esas experiencias, explicadas de forma resumida pero clara.

fernandosaenz.com
En cada post verás que incluyo una ficha que encabeza la lectura, y que ofrece una visión instantánea de lo que encontrarás si decides continuar. La mayoría de artículos los podrás leer en 3-4 minutos de tu tiempo.

Busco ofrecer un formato de micro-posts que giren en torno a la búsqueda de valor añadido buceando en datos crudos. Y siempre orientados a la divulgación de las experiencias que he vivido en esta obsesión que tengo por aplicar tecnología, a veces sencilla pero suficiente, en cada ámbito de la empresa.

Espero que lo disfrutes tanto como yo.

- Fernando Sáenz -
junio 21, 2019

Savvy expone su visión sobre la ciberseguridad industrial en CECIMO Spring Meetings

A principios de semana tuvimos el honor de ser invitados al congreso «Spring Meetings» que organiza CECIMO, en esta ocasión en la bellísima ciudad de Rüschlikon, Suiza. Se trata de un importante congreso que reúne a las delegaciones de los diferentes países europeos productores de máquina herramienta. Acudimos a la invitación exponiendo una presentación de nuestros avances en la aplicación de ciberseguridad en el contexto de la máquina herramienta digital, y también participamos en una mesa de discusión con expertos de talla mundial.

Participación de Savvy en CECIMO Spring Meetings
Participación de Savvy en CECIMO Spring Meetings

Nuestra intención era poder explicar de forma sencilla y comprensible cuál es nuestra visión de la ciberseguridad, intentando evitar entrar en tecnicismos.

Para ello, iniciamos nuestra argumentación haciendo ver por qué la buena seguridad y la mala seguridad se parecen tanto, y la importancia que tiene lo que nosotros denominamos «the weak link effect«.

Imaginemos una cadena física, un conjunto de eslabones, por ejemplo metálicos. Intuitivamente es fácil ver que la fortaleza general de la cadena será igual a la fortaleza del eslabón más débil de entre los que la compone. En otras palabras, al aplicar tensión entre los extremos, la cadena siempre se rompe por su eslabón más débil.

Sucede que en muchas ocasiones las empresas siguen fortaleciendo eslabones que ya son suficientemente fuertes, pero que, por su importancia histórica, son el foco de la mayoría de los recursos que se destinan a ciberseguridad. Tal es el caso de firewalls, sistemas IDS, IPS, etc. En cambio, los eslabones más débiles siguen siendo olvidados, estando muchas veces relacionados con las personas, sus hábitos, y su conocimiento sobre los entornos IT.

Los eslabones débiles no tienen por qué ser elementos técnicos o tecnológicos. Pensemos en el becario que tiene acceso al ordenador de un compañero suyo de trabajo porque éste último dejó su equipo sin bloquear al irse al baño. O el comercial que carga su móvil utilizando para ello el puerto USB de su ordenador de trabajo, sin darse cuenta de que, debido a cómo configuró su móvil cuando estuvo de vacaciones en Aruba, está provocando que se cree una conexión 4G no controlada hacia el interior de la red corporativa de la empresa. La lista de negligencias no intencionadas de este tipo es enorme, desde contraseñas poco seguras, publicación accidental de contraseñas (ver imagen inferior), mala gestión de dispositivos BYOD, etc.

Imagen de la entrevista que publicó TV5Monde la noche anterior a sufrir un ataque que interrumpió al menos la señal de 11 de sus estaciones. Al fondo pueden verse un buen número de usuarios y contraseñas de acceso. Este caso resulta ser también un ejemplo de contraseñas poco seguras, ya que una de esas claves era «lemotdepassedeyoutube», que traducido significa «la clave de acceso de youtube».

Es por ello que recomendamos dedicar recursos a dichos eslabones débiles. Esto no quiere decir que las empresas no deban seguir invirtiendo recursos en los eslabones fuertes, por supuesto que los firewalls y otros sistemas de seguridad necesitan mantenimiento, actualizaciones, revisiones, etc. Lo que quiere decir es que evitemos la práctica lamentablemente habitual de dejar olvidados los eslabones débiles. A este respecto, todos los expertos coinciden en una misma dirección; formación y concienciación de todos los trabajadores de la compañía. Si, también el personal no técnico tiene que entender los riesgos a los que puede someter a la compañía en caso de no cumplir adecuadamente con las políticas de ciberseguridad establecidas. En este campo, las recomendaciones de la OWASP pueden ser un buen punto de partida.

Es importante ser conscientes de que un atacante siempre buscará el punto de acceso que resulte más efectivo en coste y/o esfuerzo. Son auténticos especialistas en buscar el eslabón débil, porque, para su actividad, es el punto que maximiza la relación entre resultados y coste. No hay más que ver la tendencia de los ataques orientados al fallo humano, como el phishing, el baiting, el smishing… Según la última publicación de IBM en su IBM X-Force Threat Intelligence Index Report, el 95% de las incidencias en ciberseguridad en empresas se deben a fallo humano.

Cada vez que un eslabón débil se vea reforzado, ello provocará un incremento notable en la fortaleza total de la cadena. Por tanto, y como conclusión a esta reflexión, tenemos que convencernos de que si una empresa consigue crear una fuerte cultura de ciberseguridad en sus empleados, y éstos se vuelven suficientemente conscientes como para poder identificar, reportar y resolver dichos eslabones débiles, la mejora en el nivel general de ciberseguridad de la compañía se incrementará enormemente.

Esperamos que nuestras aportaciones fuesen útiles para los asistentes, aprovecho este post para agradecer a AFM y DANOBATGROUP el haber contado con nosotros para participar en un evento tan importante.

eventos # , , ,
Compartir: / / /