La plataforma global e independiente para la comunidad SAP.

¿Seguridad frente a innovación?

¿Qué sería del mundo sin inventos? Se supone que innovaciones como una revolucionaria aplicación de pago o un inodoro con control por smartphone nos hacen la vida más fácil. Sin embargo, en el inodoro digital silencioso, el control se realizaba a través del protocolo Bluetooth con un PIN fijo almacenado: ¡un juego fácil para los piratas informáticos! ¿Y si se tratara de una bomba de insulina que se lleva en el cuerpo?
Raimund Genes, Trend Micro
21 de junio de 2015
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La aplicación para smartphone permite abrir y cerrar la tapa, tirar de la cadena, activar el bidé o encender el vaporizador de fragancia por control remoto.

Está claro que la seguridad no fue el criterio de diseño decisivo; el PIN Bluetooth no modificable ("0000") también puede considerarse una invitación directa a los piratas informáticos.

Aunque el daño económico potencial sea ciertamente limitado -incluso si alguien acciona la cisterna las 24 horas del día-, y ciertamente no hay aquí ningún riesgo agudo para la vida humana.

De la habitación silenciosa 2.0 al coche del futuro...

Pero la diversión se acaba cuando se trata de dispositivos médicos como las bombas de insulina. Hay muchos ejemplos de este tipo, incluso en zonas donde los atacantes podrían causar daños considerables.

Basta pensar en la industria del automóvil, donde las TI son cada vez más importantes. El objetivo es innovar y entrar en el mercado lo antes posible.

Los expertos en seguridad no suelen formar parte de los equipos de producto responsables de estas nuevas soluciones. En consecuencia, no se presta mucha atención a la seguridad desde el principio. Por desgracia, estas decisiones pueden tener importantes consecuencias negativas.

Este es el caso, por ejemplo, cuando nuevos productos despiertan el interés de los piratas informáticos, y cuando estos se encuentran con obstáculos de seguridad que no existen o que son muy fáciles de superar.

...la seguridad amenaza con quedarse en el camino

Esta tendencia también se observa en los proyectos de TI cuando se introducen innovaciones: La atención se centra en la mejora del rendimiento, el ahorro de costes o la optimización de procesos, pero de lo que rara vez se habla es de lo que hay que hacer y adaptar en materia de seguridad.

Durante la prueba de concepto, la atención se centra entonces en si se cumplen las expectativas de la innovación. Una vez finalizada con éxito la fase POC y cuando se planifica la introducción de los servidores de producción, se constata que las directrices de la empresa aún no se cumplen plenamente porque la innovación es todavía demasiado nueva y las funciones de seguridad que faltan aún deben añadirse en futuras versiones.

O, como se describe en algunas instrucciones de instalación, los componentes de seguridad ni siquiera deberían utilizarse en la nueva innovación debido a las pérdidas de rendimiento.

En el ámbito del conflicto entre TI y empresa

¿Y ahora? ¿Esperar o aplicar? Se crea así una zona de tensión entre la seguridad informática, que insiste con razón en que hay que respetar las directrices internas porque los compromisos en este ámbito suelen provocar daños muy rápidamente, y el departamento empresarial, que quiere introducir las innovaciones lo antes posible.

Desde el punto de vista de la seguridad, cuanto más crítica para la empresa sea la nueva innovación, más interesante será para el atacante. Comprometer la seguridad puede tener consecuencias fatales.

Por cierto, a diferencia del inodoro 2.0, que existe realmente en Japón, la "revolucionaria app de pago" antes mencionada forma parte de un juego en línea. Aquí, una empresa -ficticia, por supuesto- está a punto de lanzar una app al mercado, las medidas publicitarias han comenzado con éxito, pero las lagunas de seguridad o los ataques selectivos podrían poner en peligro el proyecto.

Como CIO, tiene que tomar numerosas decisiones y resolver problemas durante los últimos preparativos para el lanzamiento previsto al mercado.

Pruébelo en http://targetedattacks.trendmicro.com/ger el juego "Targeted Attack - The Game" puede iniciarse gratuitamente. No tiene que revelar ninguna información personal para iniciarlo.

avatar
Raimund Genes, Trend Micro

Raimund Genes fue Director Técnico de Trend Micro.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.