Hoy en el quiron, mientras estábamos en recepción, una le dijo a otra en voz alta usuario y password de un pc al que quería acceder, ahí a viva voz
Después que por qué pasan ciertas cosas...
#30 no me has entendido, inversión es un gasto del cual esperas un ingreso.
Por mucho que te ahorres invirtiendo en ciberseguridad, no vas a tener un ingreso nunca de ello, por lo que no es una inversión, una empresa no va a tener más ingresos porque invierta en ciberseguridad.
Que eso no tiene nada que ver con que merezca la pena o no hacerlo, son temas distintos.
#32 esa inversión puede hacerte generar confianza en futuros clientes y conseguir que apuesten por ti contratando tus servicios
#20 pero eres consciente de que el malo es el hacker no?
Cómo coño vas a castigar a quien ha sido atacado y robado?
Un poco de sentido común, es como si va una mujer a denunciar violación o un robo en su casa o en la calle y se le pide que se le castigue a ella por ir en minifalda y enseñar medio culo, no tener Securitas Direct o porque llevaba su móvil asomando en el bolsillo del culo e incitaba a que le violasen o robasen, no me jodas.
El malo de la película es el HDP que ha robado esa información y encima la publica y ataca la intimidad de todos los pacientes.
#34 en el mundo real (no uno utópico), los malos van a existir siempre, por lo que es responsabilidad de los organismos y el estado de protegerse.
Piensa que el atacante podría ser perfectamente contratado por un gobierno de x país. Se trata de seguridad nacional el proteger las redes informáticas nacionales, y que nuestro gobierno invierta en ello debería ser prioritario. Pero ya sabemos como irá la historia, se aprenderá a base de hostias. Porque éste tipo de ataques no va a disminuir precisamente y cada vez serán más frecuentes (porque cada vez costarán menos realizarlos).
#2 La verdad que no me veo a ninguna aseguradora frotándose las manos, los mecanismos que tienen ya son muy muy eficientes como para jugársela por 4 informes que te lo van a solicitar igual.
Si os interesa el tema de ransomware y los data brokers tenéis capítulos en el podcast Darknet Diaries con entrevistas a gente del mundillo contando sus historias
#33 vale, pero sería una inversión si el objetivo fuese tener una ISO. Pero eso es el proyecto de la ISO, no ver la ciberseguridad como una inversión.
Sigue retorciendolo a ver si al final logras que no te quite la razón.
#38 ¿y tener una iso es una inversión? ¿cómo mides sus beneficios en términos de compras/contrataciones futuras?
#40 fácil, clientes que te la han exigido para trabajar contigo.
Confundes que sea difícil medirlo conque sea una inversión.
Tres pies al gato, el hilo.
#41 te suenan los SLA? Fácil, ahora piensa en sistema parados una semana.
Sí provees servicios informáticos, los clientes tambien te exigen unas condiciones (tiempo de disponibilidad, custodia del dato, backups, etc) en la prestación del servicio. Estamos en las mismas.
Energía e informática/telecomunicaciones. Los eternos olvidados por los negocios hasta que fallan. Y, curiosamente, el corazón de todo negocio de alto valor añadido hoy en día xd. A aplaudir en pandemia al balcón con la tele y el pc con el que teletrabajamos de fondo y grabando vídeo del momento pa subirlo al insta xd.
Probablemente las pérdidas que ha tenido el clinic en semana y pico de operativa al mínimo superen y el gasto en IT que hacen todo el año. Es lo que ocurre cuando pones un suelo de naipes con columnas de hormigón.
La empresa en la que trabajo factura aproximadamente 10 millones al año y mi jefe ni se plantea comprar un puto stormshield SN610 que vale unos 1000€ porque dice que es tontería.
Todo un entramado logístico conectado a una red local con salidas al exterior por VPN, servidor web, servidor de correo, bases de datos, gestión RPS con dispositivos remotos, PLCs... y no tienen absolutamente nada de seguridad informática.
El día que alguien de la competencia diga de meter los bigotes va a ser gracioso.
Por cosas como estas poco a poco la gente aprenderá, a base de golpes, que el mundo está avanzando de manera que dentro de no mucho será más importante tener seguridad informática que cámaras y guardias en las puertas.
#43 la ciberseguridad va a ser el siguiente trending en IT, es algo que no se puede automatizar y los robos cada vez van a ser mas grandes, las aseguradoras se estan quitando de cubrir el total de las brechas por hackeo y las empresas siguen en su empenyo de sustituir a gente competente por indios con un bootcamp y un par de certs de AWS para "proteger" y "disenyar", lo que estoy viendo ultimamente es acojonante cuando un "SOC engineer" no sabe como funciona el DNS y ni zorra de analizar pcaps con wireshark, pero el tio es un middle con 7 anyos de experiencia en cibersec (analista, blue team y ahora engineer para pasar a
Security arquitect xDDDDDDDDDDD)
#43 En mi curro ya hemos tenido algún pequeño susto por no invertir en cybersec y todo sigue igual. Hasta que no encriptan todo tu negocio creo que muchos ni se plantean la inversión
#42 y qué?, no es una inversión.
Es un gasto para prevenir problemas.
Sólo lo he comprado si es parte de exigencia de cliente para ser su acreedor. Pero nunca visto desde un punto de vista global y general.
Que cansinos sois, acababa antes callandome.
Ahora me vendrás con que no provisionar el gasto de una incidencia por ciberseguridad es un beneficio y ahí ya no te responderé, tú te creerás que has ganado la discusión pero sólo me has hecho entrar en razón de que no aceptas aprender.
#46 poco a poco:
Banks and other financial firms have been struggling with a switchback from insurance providers over cyber risk insurance, as earlier generous underwriting standards have tightened dramatically over the past two years. Some firms are now deciding whether to cut their coverage and invest more heavily in cyber security instead.
Tienes mas articulos:
Estos son mas actuales pero ya se llevan replanteando sus politicas desde el 2021, veremos si dejan de dar cobertura completamente, y eso es porque las empresas se apoyan en estos seguros en lugar de asegurar los datos. Puedes decir lo que quieras pero cuando quiten las coberturas veras tu las risas
#31 También te diré que algunas cosas deberían asumirse, la buena seguridad a nivel usuario es casi mejor darla por sentado y configurar la seguridad en un segundo paso de manera que ni el usuario más torpe o mas malintencionado no pueda romperla. Si en un hospital te trabajan 3000 personas, me parece más lógico tomar medidas para que esas 3000 personas no puedan poner en peligro los datos más sensibles (por imprudencia o por torpeza) que pretender que todos se comporten ejemplarmente en cyberseguridad. Y el tema de las contraseñas es un buen ejemplo: te obligan a cambiar cada 6 meses de contraseña, no la puedes repetir y deben contener May+min+numero+simbolo, ¿que genera esto?, que la gente escriba el pass en un post-it en la base del monitor. Una contraseña simple y permanente seria mil veces más efectiva, sobre todo para casos en los que los accesos no son diarios.
#34 y es responsabilidad de la entidad que protege los datos aplicar una política de protección que evite el acceso, modificación o cesión incorrecta de datos personales. Cosa que precisamente en los hospitales sabe cualquiera que haya tratado con ellos a nivel de administración informática que NO se realiza correctamente.
Y no es cosa de ahora precisamente: bases de datos de pacientes usadas en local, copiadas y traspasadas entre equipos de cualquier manera, versiones de SO antediluvianas sin ninguna aplicación de antivirus o de protección de red, formación referente a seguridad o tratamiento de datos a empleados inexistente... Y luego los lloros y los ay que malos son los hackers.
#53 bueno, la LOPD supongo que tendrá unos mínimos, pero no creo que tengamos legislación en este país que índice que barreras mínimas de seguridad electrónica tiene que tener una empresa, por lo que no creo que incumplan nada y como digo, no son los culpables sino las víctimas.
#2 Bueno, antes de conceder seguros, ya te hacen un interrogatorio.
Y si mientes, directamente se cancela la poliza
#54 sí, tan culpables como un violador. Te has coronado con el ejemplo de la violación.
Una joyería no expone oro ni diamantes en mitad de la calle sin ningún tipo de protección, están en locales donde usan usan cristal blindado, cámaras, sistemas de cierre blindados y cajas fuertes para que no roben aquello con lo que tratan. Los datos personales, especialmente aquellos que afectan directamente a la vida personal de seres humanos, no pueden estar expuestos ni ser tratados con tan poco control ni medidas de seguridad.
#54MrN4N0:por lo que no creo que incumplan nada
Sí, están incumpliendo la ley. Tanto en el reglamento europeo como en la legislacion española se enuncia que son las empresas que tratan datos las responsables de tomar medidas para que esto no pase, y de hecho se enuncian multas y medidas sancionadoras en caso de que se produzca una mala praxis en el tratamiento de datos. Hackers, ladrones y personas que quieran aprovecharse de los datos ajenos, siempre van a existir, y es responsabilidad de las empresas u organismos evitar que esos individuos puedan hacerse con ellos.
Otra cosa es que por ser quienes son muchas veces los que las incumplen, luego ni se cumplan esas sanciones ni nada, o sean pírricas en comparación al daño o inconvenientes causados a las víctimas.
Todo hackeo que perjudique el funcionamiento normal del hospital es de lo peor, ya trabajan con sus fallos humanos de continuo como para que se haga algo así.
También está claro que la protección que hay en los sistemas públicos está más de 10 años atrasada, con suerte 10... seguramente mucho más. No he conocido un solo partido político que se de cuenta de la realidad de la seguridad de la información. Gastan poco o nada en general, luego se regalan millones a cosas con importancia ridícula y así está todo el sistema.
#56 poner medidas para que no te roben no quiere decir que seas inviolable. Por lo que dudo que estén incumpliendo nada.
Según tú, una joyería atracada se tiene que aguantar de que le roben X Rolex del mostrador por no tenerlos en una quinta planta subterránea con vigilantes armados y una cámara acorazada.
Y evidentemente el único culpable es el ladrón y el seguro indemniza por ello por cumplir con los mínimos exigibles.
#52Yamb:Una contraseña simple y permanente seria mil veces más efectiva, sobre todo para casos en los que los accesos no son diarios.
Sí y no, date cuenta que si la contraseña fuese permanente con obtener esa credencial una vez ya lo tendría acceso para siempre un atacante que se encuentre en la red.
He leído que la seguridad actualmente se está centrando en no preveér si no pensar que has sido ya comprometido y tener las medidas de control para realizar los cambios necesarios cuando pase, pero lo que ocurre ahora es que ni se preveé ni se sabe responder
