Seguridad

Los cristales de dilitio podrían estar derritiéndose

Para aquellos nacidos después de la era de las minicomputadoras (co-terminal con el Star Trek original), el dilitio es el combustible que se utiliza para impulsar un sistema de propulsión de núcleo warp necesario para los viajes interestelares.

El dilitio es natural y raro, y cuando se derrite, debido al uso excesivo del núcleo warp, la nave estelar es básicamente kaput. Esta metáfora tiene sentido si sigues leyendo. Podría haber usado «The Russians Are Coming», de la misma época, pero podría haber parecido demasiado directo. Entonces Dilithium es.

Rusia intensificó recientemente la operación de piratería que nos trajo SolarWinds y parece que nos estamos saboteando a nosotros mismos con un software insuficiente centrado en los empleados para ejecutar algunas de las empresas tecnológicas más grandes (hablando de usted, Amazon). Ninguno de estos eventos/tendencias es bueno y se pueden prevenir porque hay productos en el mercado si los usáramos.

Dos artículos en el New York Times impulsan esta pieza. Uno es sobre la reciente operación de piratería intensificada de Rusia que comenzó como SolarWinds. El otro es sobre la vergonzosa (en la medida en que puede serlo) la incapacidad de Amazon para construir los sistemas necesarios que lo ayuden a administrar el personal.

Los espías serán espías

Primero, según Microsoft, todo parece estar relacionado con Rusia. Después de pasar desapercibido durante un tiempo, Microsoft dijo que el servicio de seguridad ruso ha montado otro ataque contra todo lo cibernético de Estados Unidos para robar datos e interrumpir los negocios y el gobierno.

Pero es posible que no desee echar toda la culpa a los rusos. John Hultquist, vicepresidente de análisis de inteligencia de Mandiant, que detectó el hack anterior de SolarWinds, señaló simplemente que «los espías van a espiar».

LEER  Suscripción gratuita a Ubuntu, código abierto en pausa, nuevo 'Undistro'

Según Microsoft, en los últimos tres años detectó más de 20 000 intentos de ataques del resto del mundo, mientras que recientemente notificó a más de 600 organizaciones de aproximadamente 23 000 intentos en sus sistemas desde un pequeño número de países que incluye a Rusia.

“Los espías van a espiar” se reduce a una admisión tácita de que las empresas estadounidenses podrían no haber aprendido la lección y haber reforzado su seguridad cibernética lo suficiente después de los últimos eventos de este tipo.

Parece que en la carrera precipitada del centro de datos a la nube, algunas empresas podrían haber estado bajo la ilusión de que su seguridad ahora estaba subcontratada a los proveedores de infraestructura. Puede suponer que la seguridad física ahora es responsabilidad de otra persona, pero existen otras capas de seguridad que pueden no ser tan infalibles.

TI debe participar

Toda la piratería se realiza sin agresión física. Esto no debería ser un anuncio de Oracle, pero si cubre la industria, puede cerrar los ojos y recordar las últimas conferencias OpenWorld donde el CTO Larry Ellison presentó los beneficios de la base de datos autónoma y Linux autónomo de su empresa.

El schtick de Ellison siempre incluiría la grave advertencia de que el departamento de TI promedio tarda alrededor de 13 meses en aplicar un parche una vez que se detecta una vulnerabilidad y se pone a disposición un remedio. No es necesario ser un meteorólogo para saber en qué dirección sopla el viento, y no es necesario operar a la velocidad de la luz para poder interrumpir los sistemas que tardan más de un año en congelarlo.

Los espías espiarán y los lobos cazarán, pero los perros pastores también deben estar patrullando. TI debe desempeñar su papel y parece que demasiados líderes podrían estar tomándose su tiempo o incluso rechazando los consejos de Microsoft y otros para fortalecer sus sistemas. (Casi escribí vacunar sus sistemas pero, de nuevo, ¿tal vez demasiado en la nariz?)

Sin duda, los artículos que leí sobre esta piratería no dicen ni una palabra sobre la penetración de los sistemas en la nube de Oracle, pero tal vez eso sea solo un descuido. Por otra parte, ¿por qué trabajar duro para superar la seguridad de Oracle cuando hay otros objetivos más fáciles?

Problemas de recursos humanos de Amazon

Para no quedarse atrás, parece que Amazon podría estar brindando una ayuda involuntaria a los malos que intentan interrumpir el negocio y la cadena de suministro. Parece que los sistemas internos de Amazon, dedicados a administrar el tiempo libre de los empleados, con o sin pago, parecen no estar a la altura de las demandas de una fuerza laboral que supera el millón y crece rápidamente.

En cierto modo es la vieja historia de los hijos del zapatero que van descalzos. Hay numerosos ejemplos en la prensa de empleados que están mal pagados o que han sido despedidos por error y, habiendo agotado las reservas, quebrando, perdiendo autos y empeñando objetos de valor, como sus anillos de boda, para mantener un techo sobre sus cabezas mientras intentan arreglar las cosas. .

Con una fuerza laboral tan grande, puede imaginar que cuando los sistemas como este fallan, no hay suficientes personas en recursos humanos para manejar la carga de casos, lo que resulta en dificultades innecesarias.

En una situación particularmente condenatoria, un trabajador de Amazon en el estado de Washington fue despedido porque las políticas de licencia sin goce de sueldo de Amazon no se correspondían con los requisitos legales de su estado de origen.

Me gustaría ser caritativo y decir algo como que todo el mundo comete errores o errar es humano, pero esos bromuros parecen muy inadecuados para la industria y los tiempos en que vivimos. Según el artículo, la compañía parece haber centrado su atención en la experiencia del usuario en lugar de los aspectos básicos de mantener la máquina en funcionamiento.

Si eso es cierto, Amazon está lejos de ser único. Las noticias recientes también tienen muchos artículos en el Wall Street Journal y en otros lugares sobre el trabajo de Facebook para preservar el statu quo que mejor respalda su modelo comercial en lugar de realizar cambios sustanciales en sus sistemas que pueden proteger a los usuarios.

Pensamientos finales

Usamos metáforas como el dilitio para explicar conceptos difíciles y el derretimiento es un ejemplo seguro de que un sistema fallará, posiblemente de manera catastrófica, a menos que actuemos.

La seguridad del sistema y el soporte para los procesos comerciales internos no generan dinero, al menos no directamente, pero son los ingredientes necesarios de la salsa secreta. No atenderlos, y las fallas consecuentes y prevenibles que causan, es un síntoma de los tiempos y la inmadurez continua de la industria.

Si algo de esto resuena, podría ser el momento de actualizar.

Las opiniones expresadas en este artículo son las del autor y no reflejan necesariamente los puntos de vista de ECT News Network.

LEER  El kit de herramientas de concientización sobre el fraude hace que las empresas se den cuenta: es la temporada de estafas fiscales

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba