286meneos

El principal problema de la seguridad informática: las personas

[c&p] Según un estudio titulado Trust, Security & Passwords realizado entre unos 300 profesionales de seguridad informática por una empresa de seguridad llamada Cyber-Ark, resulta que…* El 88 por ciento de los responsables de informática se llevarían información valiosa y sensible | Un tercio de las empresas creen que el espionaje industrial y el robo de datos es rampante| Un tercio de los administradores guardan sus contraseñas más poderosas en… notas Post-it| Una cuarta parte admite que sufren sabotajes internos ....

39 comentarios en: tecnología, seguridad karma: 776

etiquetas: principal problema, seguridad informática, personas, seguridad

negativos: 0 usuarios: 182 anónimos: 104 compartir:

#8 » ver comentario
por --87482-- el 29-08-2008 21:33 UTC
#9 El problema está en los periféricos orgánicos de activación mecánica de la interfaz física de entrada de datos
votos: 18, karma: 167
por temu el 29-08-2008 21:37 UTC
#7 Yo se de una empresa que por decisión ejecutiva se obligó a los usuarios a cambiar la contraseña de inicio de sesión cada 15 días para incrementar la seguridad informática en un 50%. El resultado fué que todo el mundo tenía apuntada su contraseña en un post-it pegado al monitor.

El caso es real. :-)
votos: 10, karma: 124
por mastermemorex el 29-08-2008 21:31 UTC
#14 El principal problema de (*): las personas

(*) Sustituyase por lo que proceda...
votos: 7, karma: 82
por --20535-- el 29-08-2008 22:11 UTC
#6 » ver comentario
por --90321-- el 29-08-2008 21:29 UTC
#3 » ver comentario
por --90321-- el 29-08-2008 21:25 UTC
#12 # "El 35 por ciento envía información confidencial por correo y otro 35 por ciento por mensajero, con un asombroso 4 por ciento que la envía por correo postal."

Aún se contar, 35 + 35 + 4 = 74, ¿y el 26% restante qué utiliza paloma mensajera?
votos: 5, karma: 64
por lolofarisco el 29-08-2008 21:50 UTC
#13 #11 No, han leido la misma pagina web.
votos: 4, karma: 58
por Usuario23 el 29-08-2008 21:55 UTC
#11 #7 #8 Trabajais en la misma empresa?
votos: 3, karma: 54
por enderteruel el 29-08-2008 21:47 UTC
#10 #9 Es verdad, si no meten la trócola no se quedan tranquilos. :-D
votos: 5, karma: 52
por enderteruel el 29-08-2008 21:46 UTC
#1 » ver comentario
por --87131-- el 29-08-2008 21:20 UTC
#16 #12 no envían información confidencial?
votos: 3, karma: 49
por viktor el 29-08-2008 22:29 UTC
#26 "Social Engineer -> Because there is no patch for human stupidity"
votos: 3, karma: 48
por pensar_cansa_mucho el 30-08-2008 00:50 UTC
#20 » ver comentario
por --94973-- el 30-08-2008 00:39 UTC
#31 Puag, si yo os contara como funciona la seguridad informática en la Agencia Tributaria.

Chicos, con deciros que el usuario y la contraseña se saca con un simple vistazo de pantalla, o que saltarse la encriptación es tan facil cómo darle a una tecla. O que se puede navegar desde laa intranet por todos los datos, tengas permiso o no, de una forma que no dejas rastro... Así es chicos, y ya no es una empresa privada...
votos: 2, karma: 44
por cordobesito el 30-08-2008 01:44 UTC
#17 Si se elige una buena contraseña de al menos 10 caracteres alfanumericos, no deberia ser necesario cambiarla, por lo menos hasta que la computacion cuantica se desarrolle :-)

¡Ah! y lo mejor es implementar sistemas de bloqueo de cuentas ante un determinado numero de fallos, como puede ser DenyHost o LogWatch o muchisimos otros que existen para los servidores; eso y un administrador de sistemas analizando los logs, siempre sera mas seguro que darle por saco a los usuarios con cambios estupidos de contraseña cada poco tiempo.
votos: 2, karma: 39
por lperez el 29-08-2008 23:59 UTC
#15 PEBKAC

ars.userfriendly.org/cartoons/?id=19980506c
votos: 2, karma: 36
por viktor el 29-08-2008 22:28 UTC
#23 » ver comentario
por --87482-- el 30-08-2008 00:48 UTC
#24 #18, en la universidad donde estudio, la UJI, cuando te obligan a cambiar de contraseña, no permiten contraseñas parecidas, sobretodo con tu método ;)
votos: 2, karma: 34
por --75469-- el 30-08-2008 00:48 UTC
#27 » ver comentario
por --87482-- el 30-08-2008 00:53 UTC
#5 Mas o menos lo que pasa con los DNIe, que muchos le ponen de código PIN el número de DNI.
votos: 1, karma: 33
por enderteruel el 29-08-2008 21:28 UTC
#29 Yo no se mucho de informática, pero cuando me pide cambiar la clave y la contraseña, cada 15 días, simplemente los invierto.
Paso de aprenderme de memoria cada dos semanas una clave y una contraseña diferentes.
Es que a los dos meses acabas :-P :-P
votos: 1, karma: 33
por enderteruel el 30-08-2008 01:02 UTC
#2 Has repetido 2 veces:
Un tercio de las empresas creen que el espionaje industrial y el robo de datos es rampante
votos: 1, karma: 32
por NeoDaVe el 29-08-2008 21:22 UTC
#4 contraseña: password

#1 de nada :)
votos: 1, karma: 32
por NeoDaVe el 29-08-2008 21:27 UTC
#21 El principal problema está entre la pantalla y la silla.
votos: 1, karma: 32
por BillGatos el 30-08-2008 00:44 UTC
#28 Cierto es ... pero hay que valorar hasta que punto la seguridad informática debe poner en jaque la usabilidad del sistema. Si obligas a poner un sistema de seguridad "paranoico", el primero en apuntar la contraseña en un Post-it va a ser el jefe de la empresa.

Eso suponiendo que no te venga diciendo que a él le excluyas de la paranoia. Y que sobrevivas a las amenazas del resto de tus compañeros.

Lo mejor es optar por un término medio: Contraseñas largas, pero fáciles de recordar para los usuarios de la empresa (de tal forma que no requieran post-its) ... pero difíciles de encontrar para una máquina. Para mi este es el punto con menor riesgo informático ...

pero no sirve de nada si el usuario tiene derechos de administrador de esa máquina y le da "si a todo" en el internet explorer.
votos: 2, karma: 32
por darkcore el 30-08-2008 00:54 UTC
#22 #7 y #8 ¿Habéis probado Keepass? keepass.info/

#17 Es necesario cambiar toda contraseña de vez en cuando. Supongamos que un keylogger registró unas cuantas contraseñas en un sistema comprometido. Sin saber que tus contraseñas fueron obtenidas, ya has formateado y el sistema está totalmente limpio, pero el problema de seguridad está ahí y no lo sabes.

¿Qué pasa si nunca cambias las contraseñas, y usas la misma contraseña en todos los servicios? Que con sólo entrar a tu correo, podrán saber otros 3, 4, 20, o 30 servicios más que usas, y con esa misma contraseña, tendrán acceso a la mitad de tu vida privada.

¿Qué pasa si cambias las contraseñas de vez en cuando, y además, usas contraseñas distintas para cada servicio? Pues que sólo habrá quedado comprometida una cuenta, un correo por ejemplo, y que te habrán fisgoneado durante 2, 3, 4, 5 meses, pero no durante "los restos de los restos, amén y bendita gloria porque mi contraseña es super guay".

La confianza es enemiga de la seguridad, mejor la paranoia. Eso sí, siempre con sentido común.
votos: 1, karma: 31
por xenNews el 30-08-2008 00:46 UTC
#32 #27 No creo que obligan a esas políticas de seguridad para la contraseña de Windows, ¿no? xD Entiendo que será para otro tipo de inicios de sesión, como de correos de la empresa, portales internos, bases de datos, etc...

Y en ese caso ofrece la posibilidad de abrir la base de datos mediante una combinación de contraseña más archivo llave. Es bastante más complicado conseguir comprometer la contraseña si además necesitas poder saber cuál es el archivo usado como llave y encima tienes que conseguir robarlo de alguna forma. Sin hablar de la capacidad de introducir contraseñas sin necesidad de escribirlas, evitando las clásicas miradas por encima del hombro y más de un keylogger que no va guardando todo lo que pasa por el portapapeles. Si encima tenemos en cuenta otras funciones de seguridad como:

+ Base de datos cifrada con AES: he visto programas que ni cifran las bases de datos.

+ Protección contra ataques de fuerza bruta, pudiendo hacer que para comprobar si una contraseña es valida o no el ordenador necesite tantos segundos como quieras. Que la base de datos sólo pueda abrirse tras un segundo de procesado de llaves, bueno, no supone ningún problema al usuario. Pretender hacer un ataque de fuerza bruta a una password por segundo... bueno, es impracticable.

+ Protección de las contraseñas en memoria, para evitar que con volcar a disco el proceso de KeePass en memoria se consiga todo en plano.

+ Bloquear la base de datos tras X segundos de inactividad para evitar dejarla abierta y que alguien fisgonee a nuestras espaldas.

Esto... sí, creo que definitivamente KeePass consigue una seguridad bastante más potente que usar Post-its, o usar contraseñas normales en 20.000 sitios distintos.
votos: 1, karma: 31
por xenNews el 30-08-2008 06:31 UTC
#35 #34 Ya lo dice en la propia noticia.

Además, el informe proviene de una empresa que además vende consultoría y servicios sobre seguridad, así que hay que valorarlo en función de eso, pues obviamente dista de ser independiente.

Pero bueno, una cosa no quita la otra, es cierto que la gente es muy chapucera con el tema de las passwords. Ellos como empresa dedicada a la seguridad buscan el mercado y ofrecen el servicio, sin más.
votos: 1, karma: 31
por xenNews el 30-08-2008 10:55 UTC
#19 » ver comentario
por --22185-- el 30-08-2008 00:37 UTC
#25 » ver comentario
por --94334-- el 30-08-2008 00:49 UTC
#18 #8 y no funciona el viejo truco de usar siempre la misma contraseña seguida de un número secuencial?

ejemplo... la primera contraseña seria abcd, la segunda abcd1, la tercera abcd2...

Salu2!!
votos: 1, karma: 27
por KirO el 30-08-2008 00:22 UTC
#34 Claro, y el "estudio" lo ha hecho una empresa que vende un producto para almacenar contraseñas y documentos de forma segura. Seguro que está hecho con la máxima independencia y rigor :)
votos: 1, karma: 27
por aelfraithr el 30-08-2008 09:31 UTC
#30 Otra leyenda urbana de la seguridad: Una empresa vio comprometida su seguridad en Navidad porque a la entrada un tío repartia CDs a los empleados diciendo que tenían postales de Navidad. Era un virus. Fue un éxito.

#22 Keepass mola, no sé que haría sin él ;-)
votos: 1, karma: 26
por lipido el 30-08-2008 01:08 UTC
#33 #31 Precisamente por no serlo, asignan contratos millonarios a "amiguitos" que hacen chapuzas para maximizar el beneficio. ¿Si no de qué administraciones con taaaaaaaaanto dinero tendrían webs tan horribles?
votos: 1, karma: 26
por darkcore el 30-08-2008 07:51 UTC
#36 No me extraña nada que pasen estas cosas. Personalmente estoy hasta el gorro, por no decir otras partes, de acumular claves en el curro -donde tengo unas 8 diferentes- en casa y con los bancos. La seguridad, cuando se vuelve rutina acaba siendo insegura por relajación. Entiendo a todos esos que apuntan sus claves en los lugares más variados. Yo, cada vez que intento entrar en algún sitio para algún trámite, también tengo certificado digital que no te voy a contar los saltos de obstáculos que hay que salvar para cumplimentar un simple trámite -contraseñas maestras, certificado de autoridades, claves, etc.-, experimento sudores fríos pues no sé si he metido la clave exacta o una de las 48 restantes que aplastan mi desgraciada existencia.
Este asunto hay que solucionarlo de otra manera, hay que cambiar los conceptos diametralmente: más imaginación y menos criticar a los seres humanos.
votos: 1, karma: 26
por sancoan el 30-08-2008 12:20 UTC
#37 #9 cuanto bien ha hecho el both-zen al mundo de la informatica
#19 hay cosas que a los lusers les duele mas

#33 vease algunas paginas de la administracion en la que se hacen contratos millonarios por webs que son hechas por estudiantes e informaticos por menos de 400€
votos: 1, karma: 26
por sangetsu el 30-08-2008 13:33 UTC
#38 Y la principal causa del divorcio es el casamiento.
No me gustó el título, las personas son la principal causa de casi todos los problemas.
votos: 1, karma: 26
por gaver el 30-08-2008 17:46 UTC
#39 » ver comentario
por --17067-- el 01-09-2008 07:06 UTC