Resumen diario de noticias – 5 de noviembre de 2013
Hemos hablado en el pasado sobre el eslabón débil en la cadena de seguridad, y después de los bufetes de abogados y terceros, puede parecer que el sector de las pequeñas y medianas empresas (PyMEs) puede ser un blanco fácil.
En un trabajo anterior, las responsabilidades de TI estaban a cargo de uno de los editores senior que dirigía una revista mensual muy ocupada y administraba el servidor de forma lateral. Ahora reiniciar el servidor y lidiar con las interrupciones del correo electrónico es una cosa, pero luchar contra los ataques de denegación de servicio y la capacitación sobre el conocimiento de las estafas de spear phishing es otra, y ahí es donde sospecho que la encuesta de McAfee es terriblemente precisa.
Esta semana también se publicó una encuesta similar, que encontró que la mayoría del sector minorista no cumple con los nuevos estándares PCI. Esa investigación de 1320 realizada por Tripwire y Ponemon Institute encontró que el 41 por ciento del sector minorista utiliza pruebas de penetración para identificar riesgos de seguridad, el 34 por ciento mide la reducción en las violaciones de acceso y autenticación para evaluar los esfuerzos de gestión de riesgos, y el 44 por ciento ha Monitoreo de integridad de archivos parcialmente implementado.
Nuevamente, esto se reduce al desafío de comunicar el riesgo a las PYMES, que pueden comprender completamente el desafío y las amenazas que se presentan, pero no están completamente protegidas por razones financieras y de personal. La encuesta de Tripwire encontró que el 62 por ciento de los profesionales de TI en el sector minorista dicen que «los datos negativos sobre los riesgos de seguridad se filtran antes de comunicarse con los altos ejecutivos». Entonces, ¿es la seguridad todo FUD, o es mejor dar pequeños pasos con los altos ejecutivos para asegurarse de que comprendan la amenaza?
Naturalmente, aún puede ganar una camiseta de Yahoo si lo desea, posiblemente con el lema “Pasé un fin de semana pe
probando Yahoo Mail para encontrar una serie de días cero que podría haber vendido a la NSA, y todo lo que obtuve fue esta pésima camiseta ”.
Ahora, en su segundo día, los aspirantes a participantes solicitan a la empresa acceso al correo electrónico cifrado y la primera persona que lo abra puede reclamar una participación del cinco por ciento de la empresa. Es una forma de realizar pruebas de penetración de fuentes múltiples y, siempre que la divulgación se mantenga en secreto, podría proporcionar resultados interesantes.