Una ponencia destacada del último Infosecurity Europe 2015 debido a lo polémico de su tema fue la de Eran Feigenbaum. El ejecutivo de Google señaló que la idea generalizada de que los centros de datos locales ofrecen una mejor Seguridad Informática es errónea y potencialmente peligrosa.
“La ubicación de los datos no mejora la seguridad. En realidad, es a la inversa ya que los adversarios no respetan las fronteras nacionales. Nunca he sabido de un hacker que diga: Oh, estos datos están en Londres; no los quiero, mejor hackeo a Bélgica. Indudablemente, hay que ser cuidadosos con la legislación ya que existen diferentes normativas. Algunos datos quizás no puedan abandonar el país, como ocurre, por ejemplo, con la ley bancaria suiza. Sin embargo, el solo hecho de que los datos se encuentren en un país específico no los hace más seguros”.
El ejecutivo señaló que Google cuenta con centros de datos en todo el mundo, y que todos ellos son auditados, y deben operar según los mismos procedimientos.
Feigenbaum explicó que los principales problemas de seguridad que enfrentan los usuarios de la nube son la autenticación deficiente, y la falta de prácticas de preparación frente a ataques. “El mayor problema en torno a la nube es la autentificación. En una conversación normal puedo mirarte y sé que eres tú, pero la mayoría de los servicios en línea siguen dependiendo de un nombre de usuario y de una contraseña. Si logro hacerme de tal información entonces puedo suplantar tu identidad”, agregó.
El ejecutivo agregó que el 80% de las violaciones registradas en 2014 fue posible, única y exclusivamente, debido a que el atacante había obtenido la contraseña de un usuario. En tal sentido, reveló que gracias a una extensión de alerta para contraseñas en el navegador Chrome, Google detectó que un gran número de usuarios reciclan contraseñas corporativas. “Usan las mismas contraseñas para cuentas de Netflix y de Yahoo!”, explicó Feigenbaum, agregando que Google se ha propuesto facilitar a los usuarios “hacer lo correcto”. Como parte de tal objetivo, Google aspira a que las contraseñas sean aún más invisibles para los usuarios.
Feigenbaum indicó que la creciente sofisticación de los ataques cibernéticos significa que las empresas deben comenzar a operar bajo la suposición de que serán atacadas y que sus datos quedarán expuestos. Como parte de tal supuesto, recomendó realizar simulacros de seguridad, donde la empresa actúe como si hubiese sido hackeada, ya que de esa forma se desarrollan buenas prácticas de recuperación frente a desastres. “Al hacer un simulacro es posible saber qué necesitan los ingenieros, el departamento legal, relaciones públicas y marketing en caso de que la empresa sea hackeada. Así también es posible decidir qué hacer antes de contactar a los clientes para explicarles lo ocurrido”.
