Llegamos a ustedes gracias a:



Conversando con...

Pedro Sánchez, especialista en seguridad de BitDefender

Hay que tomar conciencia de la seguridad

[27/06/2014] Hace unos días se realizó el simposio SIC3RAC 2014, en el que varios expositores ofrecieron su visión con respecto a la seguridad. Uno de ellos fue Pedro Sánchez, especialista en seguridad presentado por BitDefender, quien luego se dio un tiempo para conversar con nosotros.

Su enfoque se basa en que las medidas tecnológicas no bastan. Es necesario tomar conciencia de que los ataques son una realidad y que debemos defendernos contra ellos, con medidas tan simples como no revelar tan libremente nuestra información en la Red.

Para Sánchez, la persona es el eslabón más débil de la seguridad. Entonces, hay que concentrarnos en ella.

¿Cuál es el estado actual de la seguridad en las empresas?
Habría que hablar de dos partes, una la gran compañía, la gran empresa, la multinacional, banca, seguros suelen estar bien aseguradas y lo llevan haciendo desde hace muchos años con lo cual no les supone una inversión más.

La pequeña y mediana empresa, los organismos públicos o privados de dependencia gubernamental suelen estar bastante mal; y cuando digo mal no es porque no tengan tecnología, sino que no tienen concienciación en seguridad informática por lo tanto es una de las cosas que son necesarias. Entiendo que por los países en los que he estado en América Latina y Perú quizás tenga una cuenta pendiente en cuanto a concienciación y promover la seguridad.

¿Entonces en las empresas ya se están tomando las medidas adecuadas o es un tema pendiente?
Es un tema pendiente, no se están tomando conciencia todavía. Es verdad que se ha empezado con las leyes, con las leyes aquí en el Perú para poder dar una solución, todavía las empresas se encuentran en el proceso de he comprado algo y con esto me siento seguro cuando en realidad esa es una falsa sensación de seguridad.

Con esa falsa percepción de seguridad ¿cuál es la amenaza que se está obviando?

La gente normalmente piensa que con un antivirus se puede sentir seguro, pero no considera que al acceder a ciertos sitios en Internet se le puede estar robando información. Esto se debe normalmente a dos ideas. Primero, como dije, la gente piensa que con un antivirus está segura; y segundo, da toda su información en la red, algo que no haría en la calle. Quizás sea porque desconoce todo lo que hay por detrás de un sitio.

Pero cuando uno comparte cosas en las redes lo hace pensando en que solo lo van a ver los amigos.
No es así, porque yo comparto la información con un amigo, pero no puedo responder por lo que mi amigo hace con esa información. Por lo tanto se tiene que concientizar en eso también. Si tomo una foto a mis hijos bañándose en la piscina y luego la coloco en Facebook, debo tener el suficiente conocimiento para pensar que alguien -un amigo de un amigo- puede estar viendo esa información, y puede manipularla de tal forma -ya han ocurrido casos- que esa fotografía termine circulando en sitios de pederastia.

¿Es entonces la persona el eslabón más débil de la seguridad?
Es el eslabón más débil. Yo puedo tener un coche muy tecnológico y seguro, pero al final quien conduce es la persona, si la persona no respeta los límites va a tener un accidente. En informática pasa lo mismo, si la persona no sabe dónde parar, va a tener un problema de seguridad.

En su demostración usted logró captar mucha información pública de una persona, y dijo que esa era la primera fase de un ataque. ¿Quizás si se falla en la primera fase de defensa uno pueda defenderse contra la segunda fase?
Efectivamente, debo proteger mi Facebook. Uno en la vida real no tiene mil amigos entonces ¿por qué sí en Facebook? Entonces, lo que hay que hacer es limitar. Facebook no es malo, Twitter no es malo, Internet no es malo, sino que hay que saber que se tienen herramientas para proteger la privacidad. Si utilizo bien esas herramientas lo que estoy provocando es que ese ataque que se pueda producir se minimice o que no se produzca. El problema no es tener Facebook, sino saber utilizar las herramientas que nos proporciona Facebook para que mi privacidad se muestre sólo a quien yo decida.

Usted en su vida privada ¿qué no hace pero ve que las personas sí hacen en la Red?
Cuando vas por la calle, si una persona se te acerca y te pide tu información no se la das pero ¿por qué seguimos dando esa información en Internet? ¿Por qué consideramos que Internet es más amigo que un extraño en la calle? Entonces, ¿qué no hago yo? Por ejemplo, no tengo Facebook pero tengo Twitter y lo tengo muy reservado, normalmente lo utilizo como altavoz para realizar anuncios, entonces puedo limitar bien a quién estoy enviando esa información.

Y lo mismo ocurre en las empresas. Éstas tienen que limitar su información, es decir, un usuario no puede estar hablando mal de la empresa sin el conocimiento de ésta. Yo personalmente lo que haría sería limitar y minimizar el área de exposición ante un ataque.

¿Desea agregar algo?
No hay que pensar en si me va a ocurrir un incidente de seguridad o no, si voy a tener un ataque o alguien me va a sustraer información. Hay que pensar en cuándo me va a pasar, si pensamos así, si tenemos idea de la inseguridad, podremos tomar medidas.
Jose Antonio Trujillo, CIO Perú