Re: Kaspersky le declara la guerra a Microsoft

Exacto y es el gran problema para lidiar, en especial acá donde los CEO's, gerentes y demas quieren tener acceso a TODO cuando en realidad tienen que gestionar y si quieren un informe de X cosa, que se lo pidan a la persona que tiene solo acceso a eso.

Re: Kaspersky le declara la guerra a Microsoft

Bill gates siempre gana!!!!!!!!!!!!!!!!

Re: Kaspersky le declara la guerra a Microsoft

La otra regla que va de la mano con lo que decís es:
El costo de acceder a la información debe ser mayor al beneficio que se obtiene de su robo.

No way... te agarra el departamento de controlling y te saca hasta el monopatín si no está debidamente justificado.

Laburé haciendo "Seguridad SAP" (puesto chamuyo) para YPF (externo) y no podías tirarte un pedo sin antes levantar un service desk... y sí querías algún rol especial tenías que pedir permiso a seguridad y bla bla bla, con copia al gerente del sector y para que ambiente lo querías, y explicando por qué carajo lo necesitas vos, en ese día, en esa época del año y en la cocina(?)

Ojota, he visto de todo en todo tipo de empresas (tampoco que haya estado en muchas auditorías) pero YPF era de lo más burocrático y estructurado que podías encontrar.

Re: Kaspersky le declara la guerra a Microsoft

Fue un ejemplo pero está lleno de empresas que dan accesos según cargo jerárquico y es lo que jamás hay que hacer.

Re: Kaspersky le declara la guerra a Microsoft


Edenor tiene toda la burocracia habida y por haber, y sin embargo no quita que un tipo se mude de site y se lleve la pc en una camioneta. Le pida el usuario a otro porque se bloqueo y hasta que se lo desbloquean pasa un rato. Ni hablar de que si tiene que pedir un permiso tarda una vida entre que completa formulario y lo envía etc etc. Pero en ese tiempo uso 5 usuarios distintos que podian hacer eso. Y asi montones mas.

Kaspersky le declara la guerra a Microsoft

El soft puede ser seguro... con sha-3... y toda la bola pero no sería la primera vez que atacan la parte más débil de un sistema... y esa es la interfaz entre silla y teclado...

-Hola Pepe... tengo a tu viejo... vieja hermana suegra y al gato... vos decidís en que orden los violamos y matamos... mientras tanto conseguime está info...

Y la seguridad física? Donde servers de plantas productivas están en lugares que te los llevas en una trafic con 10 monos???






Enviado desde mi iPhone utilizando Tapatalk

Re: Kaspersky le declara la guerra a Microsoft

Si mal no recuerdo, aca no lo usamos en la empresa, pero ws2012 tiene roaming users..

Re: Kaspersky le declara la guerra a Microsoft

Pasar seguro que pasa! En cualquier tipo de empresa... remarqué lo de YPF porque lo nombraron.

En cierta empresa de gas hicimos una "reingeniería de roles" del módulo FI... junto a Controlling cortamos todo tipo de cabezas, nos odiaron... no existía la segregación de funciones casí.
Por poner un ejemplo (no lo tengo muy fresco ya, pero pongamosle que está mal) que el que hacía una orden de compra... TAMBIEN LA PODIA APROBAR. Y creo que siguió estando así, porque no tenían más gente que pudiera suplir esa tarea cuando el encargado de aprobar se iba de vacaciones. El tema es que se definieron controles de auditoría, en los que se iba a revisar especificamente que cuando esa persona se encontrara en la empresa, no se haya aprobado ninguna orden de compra.

Cosas así... por lo general estas cosas pasan, el tema es que la justificación de por qué pasó sea buena y adicionalmente los controles que mitiguen estos riesgos sean eficientes.

Re: Kaspersky le declara la guerra a Microsoft

Laburo con SAP para el modulo HR hace mas de 8 años y pase por todo tipo de clientes, los mayores problemas de seguridad se dan por la falta de capacitación a los usuarios... Muchos de ellos serian tan fáciles de mitigar con algun mail o explicativo... Lo mismo trasladado a otras areas no SAP como puede ser la intalacion de programas en las notebook o demas, la solucion no es limitar porque siempre se busca la forma de violar ese limite como son los programas portables o mandarse archivos por mail cuando se corta la transferencia de datos a dispotivos USB,, la solucion esta en capacitar y concientizar al usuario sobre los riesgos de las acciones que esta tomado.

Re: Kaspersky le declara la guerra a Microsoft

Eso no es un problema de seguridad, si no un moco de un analista funcional que diseño con el orto, es el ABC... .
Seguramente alguno de acá tomara mal esto pero me chupa la pija, hacer seguridad informática no es seguir X reglas y buenas prácticas sumado a usar algunas aplicaciones para ver si hay algún problema, eso se llama "laburo de sysadmin". Seguridad informática es reventar algo con técnicas nuevas, encontrar 0days, etc y estando fuera de la estructura formal en donde se trabaja, básicamente vas a ciegas porque si no vas a ciegas, es el laburo de testing.

Re: Kaspersky le declara la guerra a Microsoft

Era para seguir ilustrando el punto de lo que se había hablado más arriba.
Hay políticas que hacen a la seguridad informática y abarcan tanto al hardware y software, como a las personas que los utilizan y los procesos de negocio que existen.
Desde mi punto de vista es todo un conjunto y no puede existir lo uno sin lo otro.

Ahora, viéndolo desde el punto de vista del hacking y la intrusión... la infraestructura es el punto más importante a validar ya que es el punto de acceso, el bastión.
De todos modos no olvidemos la ingeniería social que se basa en la buena fe de la gente y su tendencia a ayudar a cualquiera con tal de no quedar ortiva. Y esto ya recae en una buena capacitación del personal, definición de procesos alineados a esa política de seguridad, y algunas cosas más que me escaparán, pero seguramente existan.

Y el que busca un problema de seguridad, debe buscarlo en todo ese universo completo, y no solo abstrayéndose a esa capa, que si bien es una parte importante, no es todo.

Los libros de Kevin Mitnick (que tienen mucha fantasía adentro) ilustran casos que si no existieron por parte de ellos, seguro existieron en otro lado porque no cuenta cosas para nada descabelladas... y te das cuenta lo importante que es el todo.

Repito, no digo que no estés en lo cierto... son puntos de vista y me chupa un huevo si lo tomás a mal(?), yo no tomo a mal tu opinión(??) (no importa el motivo, muchas veces suelo estar en contra, por más que tal vez estés en lo cierto y crea en lo mismo que vos... porque se puede generar alguna que otra cosa interesante al abrir el punto de vista)

Re: Kaspersky le declara la guerra a Microsoft

.
Totalmente de acuerdo, pero la gente que se dedica a resetear pass crear usuarios permisos etc etc. Se ofenden cuando les decis que no son seguridad informatica. Es mas aca en el laburo los que hacen eso el sector se llama "gestion de la seguridad". No tenemos un sector con el nombre de seguridad informatica, para eso tengo entendido que contrataron un flaco que lo tienen todo el dia tratando de entrar a la empresa buscando puertas traceras etc etc, y sabe de todo, networking windows linux oracle sql etc.

Re: Kaspersky le declara la guerra a Microsoft

Que tiernos tienen personas que resetean los pass y dan alta usuarios...


Enviado desde mi iPhone utilizando Tapatalk

Re: Kaspersky le declara la guerra a Microsoft

Hace un tiempo me devolvieron una aplicación los de "seguridad informática" de X empresa (una nacional MUY grande), me pidieron corregir el supuesto error, les pedí que atacaran la aplicación y usaran ese supuesto hueco a ver si fallaba, así me daban la info que necesito para que lo arreglemos como corresponde y ver que hacer en caso de falla, no lo hicieron, me pidieron a secas que lo arregle, de nuevo les volví a pedir lo mismo, así hasta que escalo y terminó todo en una reunión por la sarasa de que no queríamos arreglar el supuesto fallo.
En esa reunión me entere que el supuesto experto en seguridad, no era mas que una marmota que corría el owasp zap y como ese programa le decía que había tal vulnerabilidad, él la pasaba para corregir, hasta los cantos del orto se me reían, a eso llegamos.
Alguien vio lo que paso con lo del voto electrónico?, no hablaron de supuestas fallas del sistema, fueron y demostraron que fallaba, dejaron banderas por todos lados, ese es un buen ejemplo de que es la seguridad informática.

Re: Kaspersky le declara la guerra a Microsoft

el antivirus es el propio virus, si no el negocio nunca es rentable