Seguridad informática
- Autor King Conan
- Fecha de inicio
Zerg Rush
Miembro habitual
Más estos. por los que todavía confian en Google, donde ahora supongo van a rodar algunas cabezas
www.genbeta.com
Cargando…
ujjina.com
La madre de todas las filtraciones revela miles de secretos inéditos de Google. La compañía acaba de confirmar que son reales
Google está protagonizando un nuevo escándalo. La empresa que tradicionalmente era reconocida por ser el lugar perfecto donde todo el mundo quería trabajar,...
www.genbeta.com
Última edición:
Jesse Custer
Miembro habitual
Merci, cambiado el pass
Tim
Miembro habitual
- Mensajes
- 32.198
- Reacciones
- 24.107
Hay ataques constantes. Que estén yendo a por estos a propósito es parte de las guerras mundiales en el siglo en que estamos.
Otra cosa es que la ciberseguridad no sea el pilar sobre el que se base una empresa a estas alturas. Y no lo es en prácticamente ninguna.
En los últimos 9 meses he podido ver de primera mano cómo están empresas como Iberdrola, el ayuntamiento de Madrid, alguna administración pública, algún banco… Tremendo todo. Iberdrola ni tan mal. Pero es que otros casos…
Proyectos en Cloud cuyo código fuente se entrega en un zip porque no se usa DevOps. El análisis del código se hace de cualquier manera. Los que reciben el proyecto (es algo subcontratado) el único análisis que hacen son unas pruebas contra la página web. Cosas del pleistoceno.
El problema más grave no es que quede mucho por hacer, es que ni siquiera son conscientes de la necesidad URGENTE de adoptar formas de trabajar modernas donde la seguridad sea el primer paso.
Como se debate a veces, si decir DevSecOps o SecDevOps, nosotros preferíamos la segunda opción, como para enfatizar que no se puede empezar nada sin contar con la gente de Seguridad.
Otra cosa es que la ciberseguridad no sea el pilar sobre el que se base una empresa a estas alturas. Y no lo es en prácticamente ninguna.
En los últimos 9 meses he podido ver de primera mano cómo están empresas como Iberdrola, el ayuntamiento de Madrid, alguna administración pública, algún banco… Tremendo todo. Iberdrola ni tan mal. Pero es que otros casos…
Proyectos en Cloud cuyo código fuente se entrega en un zip porque no se usa DevOps. El análisis del código se hace de cualquier manera. Los que reciben el proyecto (es algo subcontratado) el único análisis que hacen son unas pruebas contra la página web. Cosas del pleistoceno.
El problema más grave no es que quede mucho por hacer, es que ni siquiera son conscientes de la necesidad URGENTE de adoptar formas de trabajar modernas donde la seguridad sea el primer paso.
Como se debate a veces, si decir DevSecOps o SecDevOps, nosotros preferíamos la segunda opción, como para enfatizar que no se puede empezar nada sin contar con la gente de Seguridad.
A día de hoy, el primer punto en cualquier proyecto, debe ser la seguridad. Empezando por la propia empresa y toda la cadena de subministros.
Y en España tenemos una ley y un esquema nacional de seguridad que tienen que cumplir empresas y administraciones públicas y no cumple ni Dios.
Me he tenido que pelear con un CISO que el proveedor que quería contratar no lo cumple (ni lo cumplirá jamás) y que en estas condiciones yo no le montava nada. Suerte del apoyo del CIO y del CTO..
Y en España tenemos una ley y un esquema nacional de seguridad que tienen que cumplir empresas y administraciones públicas y no cumple ni Dios.
Me he tenido que pelear con un CISO que el proveedor que quería contratar no lo cumple (ni lo cumplirá jamás) y que en estas condiciones yo no le montava nada. Suerte del apoyo del CIO y del CTO..
Ya la había cambiado nada más leer tu post 
Hinomura Krycek
Bayofilo
Israel.
Hallowed
Miembro habitual
- Mensajes
- 5.903
- Reacciones
- 6.811
Al CISO se le hace mucho caso y se le tiene mucho miedo... Hasta que las fechas de un proyecto aprietan y hay que salir de cualquier manera.
Ejem, ejem... no todos somos iguales
Hallowed
Miembro habitual
- Mensajes
- 5.903
- Reacciones
- 6.811
Nosotros pedimos los fuentes a los proveedores que nos desarrollan cosas. En parte para poder hacer lo que queramos con el código y en parte para poder pasar las certificaciones de Sonar, Fortify, Leviathan...
¿Y tenéis que proveedores que no tienen un repositorio que NO esté en la nube?
Hace poco he pasado, por segunda vez, la certificación del ENS. Para mi es una línea roja no negociable: el código fuente JAMAS estará en un repositorio en la nube, llámese GIT o llámese Gaitas en Vinagre.
Hace poco he pasado, por segunda vez, la certificación del ENS. Para mi es una línea roja no negociable: el código fuente JAMAS estará en un repositorio en la nube, llámese GIT o llámese Gaitas en Vinagre.
Tim
Miembro habitual
- Mensajes
- 32.198
- Reacciones
- 24.107
@TheReeler hablo de proyectos que saca una administración pública y ejecutan ganando un concurso diferentes proveedores. Despliegan el software en Azure, con contenedores, y el código fuente se entrega en un zip.
Yo no digo que el repositorio tenga que estar en Cloud. Menciono lo del Cloud por tener en cuenta que hablamos de un proyecto nacido de cero basado en la tecnología más actual, que los proveedores trabajan con CI/CD, todo con Terraform, los cambios de software hacen que se desplieguen los contenedores actualizados automáticamente…
Y digo lo del zip porque no, no hay ningún repositorio. De ningún tipo
La documentación por email. Y así todo.
Es un desastre increíble lo que hay en la mayoría de las empresas. Ni auditorias ni nada. Y lo que es más grave, que es lo que detecto, el culpable es el desconocimiento. No saben y la mayoría de las veces ni quieren saber.
Yo no digo que el repositorio tenga que estar en Cloud. Menciono lo del Cloud por tener en cuenta que hablamos de un proyecto nacido de cero basado en la tecnología más actual, que los proveedores trabajan con CI/CD, todo con Terraform, los cambios de software hacen que se desplieguen los contenedores actualizados automáticamente…
Y digo lo del zip porque no, no hay ningún repositorio. De ningún tipo
La documentación por email. Y así todo.
Es un desastre increíble lo que hay en la mayoría de las empresas. Ni auditorias ni nada. Y lo que es más grave, que es lo que detecto, el culpable es el desconocimiento. No saben y la mayoría de las veces ni quieren saber.
El FBI ha obtenido mas de 7000 claves de descifrado de Lockbit.
securityaffairs.com
Si hay alguno interesado, que hable con el CCN.
FBI obtained 7,000 LockBit decryption keys, victims should contact feds to get support
The FBI is informing victims of LockBit ransomware it has obtained over 7K decryption keys that could allow some of them to decrypt their data
securityaffairs.com
Si hay alguno interesado, que hable con el CCN.
La NSA recomienda que reiniciemos el dispositivo (Android & Iphone) una vez a la semana.
NSA Warns iPhone & Android Users to Restart Devices Once Every Week
The National Security Agency (NSA) has recommended that all iPhone and Android users restart their devices at least once a week. This guidance is part of a broader set of best practices to enhance mobile device security and protect users from potential cyber threats.
cybersecuritynews.com
La multinacional andaluza que dijo haber “bloqueado” un ciberataque tiene los datos de su plantilla en la 'dark web'
Los trabajadores de Ayesa denuncian que la empresa no les ha explicado la situación hasta que han visto todos sus datos publicados por ciberdelincuentes
www.eldiario.es
Tim
Miembro habitual
- Mensajes
- 32.198
- Reacciones
- 24.107
El artículo no está nada mal. Hay cosas que uno puede ver como que son básicas, pero la mayoría de la gente no las cumple.
Lo del reinicio está bien explicado y tiene su lógica. Nos guste o no, un iPhone es vulnerable y cuando salen parches de seguridad muchas veces ya está reportado que se están usando para entrar en los dispositivos.
warpx
Miembro habitual
- Mensajes
- 1.194
- Reacciones
- 741
Hackers Access Tile's Internal Tracking Tools, Customer Data
Tile, known for its Bluetooth tracking devices, was recently hacked, according to a report from 404 Media. A hacker was able to gain access to...
www.macrumors.com