"Acabo de recibir un mensaje de una gran consultora, de esas que hacen
estudios basándose en estadísticas tras recopilar la opinión de terceros
supuestamente expertos. Muy amables, solicitan corrija una errata en una
de las respuestas que rellené en su cuestionario. La pregunta pedía que,
según mi criterio, enumerara el top 10 de amenazas de seguridad a las
que se deberían enfrentar las empresas a corto y medio plazo. La
respuesta que suponen una errata es: las soluciones de seguridad.
Supongo que la mayoría estamos de acuerdo en que, en casos puntuales,
una solución de seguridad puede introducir nuevas amenazas, bien por
mal funcionamiento en sus funciones de protección, bien por nuevas
vulnerabilidades que se derivan del propio producto o servicio de
seguridad. No obstante, incluir esa remota y puntual posibilidad en un
top 10 de amenazas no es muy acertado. Así que entono el mea culpa por
una mala descripción de lo que quería decir (tampoco había mucho espacio
en el campo de texto libre del cuestionario), y les voy a enviar la
rectificación: marketing falso en soluciones de seguridad.
En su día me molestaba mucho leer el eslogan de "100% de protección
contra virus", una herencia de aquella molestia se puede encontrar aun
hoy día en el aviso que escribí hace 5 años en la web de VirusTotal: "No
existe solución en el mundo que pueda ofrecer un 100% de efectividad en
el reconocimiento de virus y malware en general. Si le ofrecen un
producto con el 100% de efectividad, está siendo víctima de publicidad
falsa.". Afortunadamente el marketing de los antivirus ha evolucionado
y ya nadie se atreve a decir nada parecido.
Sin embargo, en términos generales, el marketing en las soluciones de
seguridad sigue siendo poco honesto, tanto con el usuario final como con
el cliente corporativo. Un buen momento que tengo para afianzar esa
sensación es cuando presento los resultados de auditorías y test de
penetración a clientes corporativos. Es entonces cuando escucho frases
como: "pero el vendedor nos dijo que este sistema de prevención de
intrusiones evitaba cualquier tipo de inyección", "no puede ser, el
portátil tiene un sistema de cifrado y nos dijeron que era imposible
extraer ninguna información", etc.
Ya sabemos que cualquier solución de seguridad que nos ofrezcan, u
ofrezcamos, no es perfecta. Así que el vender las soluciones de
seguridad exagerando sus virtudes y omitiendo sus debilidades podría
entenderse como picaresca, parte del juego entre vendedor-comprador.
Pero los efectos en realidad son mucho más perniciosos que el del
anuncio del detergente que nos asegura que lava más blanco que ninguno,
porque puede llegar a crear una falsa sensación de seguridad en el
comprador y las consecuencias pueden ser desastrosas para la empresa.
No se trata simplemente de que el comprador haya adquirido una solución
que no es la mejor de su categoría, como ocurre en el caso del
detergente, sino que probablemente no le hayan explicado las
limitaciones de esa tecnología y de la que adolece cualquier otro
producto de la misma categoría. El resultado es que el comprador no
entenderá la necesidad de añadir capas adicionales de seguridad para
proteger sus activos, una verdad que en el mejor de los casos descubrirá
durante una auditoría o test de penetración, y en el peor de los
escenarios ya sería demasiado tarde.
Mi humilde consejo: cuando intenten venderle una tecnología o solución
de seguridad, desconfíe de cualquier presentación que no incluya
explícitamente una descripción de sus debilidades o limitaciones."
Bernardo Quintero
Fuente Original:
http://www.hispasec.com/unaaldia/3893/comentar
-- estudios basándose en estadísticas tras recopilar la opinión de terceros
supuestamente expertos. Muy amables, solicitan corrija una errata en una
de las respuestas que rellené en su cuestionario. La pregunta pedía que,
según mi criterio, enumerara el top 10 de amenazas de seguridad a las
que se deberían enfrentar las empresas a corto y medio plazo. La
respuesta que suponen una errata es: las soluciones de seguridad.
Supongo que la mayoría estamos de acuerdo en que, en casos puntuales,
una solución de seguridad puede introducir nuevas amenazas, bien por
mal funcionamiento en sus funciones de protección, bien por nuevas
vulnerabilidades que se derivan del propio producto o servicio de
seguridad. No obstante, incluir esa remota y puntual posibilidad en un
top 10 de amenazas no es muy acertado. Así que entono el mea culpa por
una mala descripción de lo que quería decir (tampoco había mucho espacio
en el campo de texto libre del cuestionario), y les voy a enviar la
rectificación: marketing falso en soluciones de seguridad.
En su día me molestaba mucho leer el eslogan de "100% de protección
contra virus", una herencia de aquella molestia se puede encontrar aun
hoy día en el aviso que escribí hace 5 años en la web de VirusTotal: "No
existe solución en el mundo que pueda ofrecer un 100% de efectividad en
el reconocimiento de virus y malware en general. Si le ofrecen un
producto con el 100% de efectividad, está siendo víctima de publicidad
falsa.". Afortunadamente el marketing de los antivirus ha evolucionado
y ya nadie se atreve a decir nada parecido.
Sin embargo, en términos generales, el marketing en las soluciones de
seguridad sigue siendo poco honesto, tanto con el usuario final como con
el cliente corporativo. Un buen momento que tengo para afianzar esa
sensación es cuando presento los resultados de auditorías y test de
penetración a clientes corporativos. Es entonces cuando escucho frases
como: "pero el vendedor nos dijo que este sistema de prevención de
intrusiones evitaba cualquier tipo de inyección", "no puede ser, el
portátil tiene un sistema de cifrado y nos dijeron que era imposible
extraer ninguna información", etc.
Ya sabemos que cualquier solución de seguridad que nos ofrezcan, u
ofrezcamos, no es perfecta. Así que el vender las soluciones de
seguridad exagerando sus virtudes y omitiendo sus debilidades podría
entenderse como picaresca, parte del juego entre vendedor-comprador.
Pero los efectos en realidad son mucho más perniciosos que el del
anuncio del detergente que nos asegura que lava más blanco que ninguno,
porque puede llegar a crear una falsa sensación de seguridad en el
comprador y las consecuencias pueden ser desastrosas para la empresa.
No se trata simplemente de que el comprador haya adquirido una solución
que no es la mejor de su categoría, como ocurre en el caso del
detergente, sino que probablemente no le hayan explicado las
limitaciones de esa tecnología y de la que adolece cualquier otro
producto de la misma categoría. El resultado es que el comprador no
entenderá la necesidad de añadir capas adicionales de seguridad para
proteger sus activos, una verdad que en el mejor de los casos descubrirá
durante una auditoría o test de penetración, y en el peor de los
escenarios ya sería demasiado tarde.
Mi humilde consejo: cuando intenten venderle una tecnología o solución
de seguridad, desconfíe de cualquier presentación que no incluya
explícitamente una descripción de sus debilidades o limitaciones."
Bernardo Quintero
Fuente Original:
http://www.hispasec.com/unaaldia/3893/comentar
Crislato
Entradas
