Bizkaia Enpresa Digitala continúa con su interesante oferta de jornadas y cursos. Hoy era el turno del hacking ético, en realidad la jornada se titulaba: "La auditoría y el hacking ético como elemento de mejora continua en los sistemas de seguridad de la información". Gorka, Rik y aquí el menda lerenda , junto con unas veinte personas más, hemos disfrutado de una mañana que nos ha servido, no tanto para aprender cosas nuevas sino más bien para corroborrar y/o fijar conceptos sobre seguridad de sistemas. Para ello Jon y Aitor de Nesys han presentado el tema, no desde el punto de vista técnico, sino desde una visión que engloba la seguridad de la información de una empresa como una parte más de los sistemas de mejora contínua.
Algunas ideas recogidas a modo de flash:
- La seguridad debe ser entendida más como un proceso que como un producto.
- Ese proceso debe gestionar el riesgo ya que la seguridad 100% es imposible de lograr.
- Debe ser desarrollado como un ciclo PDCA en el que tras planificar y desarrollar los procedimeientos controlemos mediante métricas para definir las acciones de mejora.
- Valen más pequeñas tareas bien planificadas que grandes equipos que ni el administrador de red sabe configurar.
- En este momento cualquier persona con poco conocimiento puede ejecutar tareas casi con un par de clicks de ratón que pueden comprometer equipos vulnerables. Ha aumentado enormemente el número de atacantes potenciales.
- Las mismas herramientas utilizadas para atacar vulnerabilidades nos pueden servir para realizar auditorias, a esto le llamamos hacking ético.
- El primer punto de acceso para un posible atacante es el propio usuario que se sienta al teclado del ordenador por lo que una de las tareas mas eficientes en este sentido es formar al usuario.
En resumen una interesante jornada acorde a los proyectos en los que estamos inmersos.
Leave a Reply