www.onemagazine.es
Chema Alonso en Hackhotel: “En seguridad hace falta gente que se tome las cosas en serio”
Ampliar

Chema Alonso en Hackhotel: “En seguridad hace falta gente que se tome las cosas en serio”

El responsable de Datos de Telefónica, ha abierto el primer congreso nacional de ciberseguridad hotelera, Hackhotel, en Tenerife, el 10 y 11 de octubre. Con casi 400 asistentes y muchas de las empresas de referencia en España, como S21sec, ElevenPaths, Dinosec, CSA y Atos, entre otras, quiere ser una refencia mundial. Su exposición no ha decepcionado.

El responsable de Datos de Telefónica, ha abierto el primer congreso nacional de ciberseguridad hotelera, Hackhotel, en Tenerife, el 10 y 11 de octubre. Con casi 400 asistentes y muchas de las empresas de referencia en España, como S21sec, ElevenPaths, Dinosec, CSA y Atos, entre otras, quiere ser una refencia mundial. Su exposición no ha decepcionado.

A través de videoconferencia el responsable de Datos de Telefónica, Chema Alonso, ha abierto el primer congreso de ciberseguridad en hoteles. En su charla ha recordado que hay que apostar por los sencillo, por lo básico. Así ha mostrado los dibujos que puso en su despacho: las dos protagonistas de la película Frozen. “Creo que se puede identificar al responsable de ciberseguridad con Elsa que es capaz de convertir todo en nieve y conseguir que todo se congele. También está Ana que no tiene ningún poder. Y la historia es que el reino de Arandel se cubre de nieve, que sería como una crisis en una empresa. En ese momento, Elsa se sube a una montaña y se monta un castillo increíble y canta. Pero lo cierto es que no arregla nada y el reino sigue lleno de nieve. Y la que lo tiene que resolver es Ana, que no tiene poder alguno, pero que escala la montaña y trabaja para volver a la normalidad”.


“En las empresas me ha encontrado con estos dos perfiles. Por un lado el responsable que se dedica a gastar mucho en ciberseguridad y todo está bien pero no sirve de nada si no has arreglado lo básico”, ha destacado. Alonso ha mostrado un informe del departamento de Seguridad Nacional de EEUU, publico en 2015, analizando los problemas que tenían. Se alertaba de que no estaban inventariadas todas las máquinas, que había muchos equipos no conocidos, que no había parches de seguridad instalados, software obsoleto… Pero también había cosas comunes como contraseñas poco seguras, sistemas sin buena autenticación. Cosas sencillas que se pueden arreglar. Así que es importante arreglar las cosas sencillas. ¿Cuantos de los presentes trabajan en una empresa que usa un sistema para, por ejemplo, acceder a las nóminas en el que sólo tiene de protección una contraseña? O sea una persona. En casi todos los grandes ataques conocidos se roba la contraseña al administrador. Poner una segunda contraseña es un gran pasillo de seguridad”.

“Los antivirus no valen para nada… pues no: valen para mucho. Te protegen todo el malware conocido. SI te hacen un ataque dirigido no te servirá pero sí para muchas amenazas”, ha comentado. “Es como si llevas un casco de moto y te clavan un puñal. El casco te protege pero también hay otras amenazas contra las que tienes que trabajar… pero llevando el casco”

Hay que apostar por la máxima seguridad… sin que nada deje de funcionar

Alonso ha explicado que Torwald Linux comentó hace pocos años que la gestión de la seguridad es ya muy complejo. Son tecnologías y procesos para conseguir integridad y disponibilidad para conseguir que la compañía pueda responder ante ataques y cumplir con la normativa vigente. Y esto no es sencillo: porque si aplicas los parches de seguridad… deja de funcionar una aplicación para clientes. Esto no es magia, es ciencia. Y hace falta gente en seguridad que se tome las cosas en serio. Gente que sepa que hay que apostar por mínima exposición, máxima seguridad. Hay que poner todas las medidas de seguridad posibles sin que deje de funcionar el sistema”.¡

Desarrollar software propio es importante pero lo es igual de importante auditar su seguridad, comprobar que son segura, monitorizarlas continuamente. E igual con los proveedores y las personas y empresas que acceden al sistema de la empresa. ¿Qué pasa si su seguridad está expuesta y te exponen a ti?

Por eso se habla de tres niveles de empresas. Las más inmaduras son las que invierten todo en prevenir. Como los padres que creen que pueden evitar que a sus hijos les pasen cosas en la vida. Pero no funciona así. A tu sistema, a tus hijos les va a pasar algo y es mejor que en ese momento esté preparado.

En el segundo nivel están las empresas que invierten en prevenir y en detectar. Las estadísticas dicen que las empresas tardan seis meses. Cuando se consigue en semanas se denomina ‘detección temprana’. Si la empresa no tiene sistemas de detección el adversario puede estar años dentro robando lo que tiene valor.

Y en tercer lugar son las empresas que saben qué hacer cuando tiene un ataque: qué hacer cuando hay una crisis, cómo evitar que los sistemas dejen de funcionar… ¿sabeis qué hacer si la base de datos de vuestros clientes, de un hotel, se publica en Internet?¿teneis preparado el discurso del CEO?¿Qué pasa si un empleado malicioso se lleva las tarjetas de vuestros clientes? Si no estais preparados teneis un problema: porque no sois resilientes.

Por último ha terminado destacando el papel de las personas. “Hay que conseguir que la gente se convierta en sensores de la organización. Formarlos.cham


¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Desarrollo Editmaker

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.