Ya comentaba en un artículo anterior lo de hbgary, pero es que el ambiente en Seguridad los últimos meses está muy, muy caliente:
- El ataque a los servidores de RSA y el consiguiente robo de información.
- El ataque a los servidores de la Agencia Espacial Europea y la publicación de sus usuarios y contraseñas. Casualmente días despues había una vacante de "Head of the Information Systems Division".
- IEEE, la mayor sociedad profesional tcnológica del mundo, fué víctima de un sofisticado ataque que dejó al descubierto información personal y de tarjetas de crédito de unos 800 miembros.
- El owned que unos adolescentes hicieron a uno de los proveedores de cloud-computing
- El acceso indebido a servidores de Epsilon y consiguiente publicación de miles de datos personales.
- Barracuda, una empresa de Seguridad que entre otros productos ofrece WAFs, fue atacada en el momento justo que hacían mantenimiento en su propio firewall de aplicación. Consecuencias: listado cuentas de correo y passwords de empleados.
- Y el último y más sonado escándalo de Seguridad tanto por el número de usuarios víctimas del robo de información (70 millones) como por el prestigio de la empresa afectada: Sony. En el cual los rumores, aunque son solo eso, rumores, apuntan a algo tan básico como la no segmentación de diferentes tipos de redes. (Actualización 3-5-11: Más datos sobre el incidente)
Y así podríamos continuar, tan sólo hay que seguir las noticias de Dataloss DB, un proyecto que documenta y publica todas las brechas de seguridad ocurridas y que exponen pérdida de datos en todo el mundo. Este proyecto existe porque en EEUU 35 estados tienen una legislación sobre la notificación de pérdida de datos en empresa privada y del Gobierno, es decir, si ocurre un incidente que pone en peligro los datos de los usuarios hay que notificarlo a un organismo central para su publicación e información de los usuarios que puedan ser víctimas potenciales.
Sí todos los incidentes anteriores ocurren en empresas de ese tamaño y sector en las cuales el cumplimiento de las medidas de seguridad adecuadas y concienciación debieran ir en el ADN de la organización, ¿que ocurrirá en las PYMES?, aquí, tan sólo teneis que fijaros "un poco" cuando tengais oportunidad. Desconozco si la LSSICE o LOPD obliga a ello, pero me alegraría ver un proyecto similar a Dataloss DB orientado a España.