¿Por qué las pequeñas y medianas empresas deben preocuparse por la seguridad?

Navega tus respuestas
5

Pretexto

No soy un experto en seguridad, solo un desarrollador web con un interés en "seguridad". Mi empleador me ha asignado una charla interna sobre seguridad (específicamente seguridad de aplicaciones web) y por qué es importante para las PYMES.

Reflexionando sobre mi motivación, me he dado cuenta de que este tema en particular me interesa porque:

  1. Encuentro fascinante el aspecto técnico
  2. Es lo que hay que hacer
  3. No quiero ser pwned (dignidad profesional)

Todo está bien y elegante, pero no es algo que impresionará terriblemente al tablero. En consecuencia, la charla debería centrarse en el impacto de la seguridad en las empresas para las PYMES.

He estado pensando en incorporar algunos argumentos escuchados con frecuencia:

  • "La seguridad es solo para los sectores financiero / médico / de seguros"
  • "Somos demasiado pequeños para ser notados por los piratas informáticos"
  • "No hay nada que obtener de nosotros; nuestros datos no son interesantes"
  • "No almacenamos datos de tarjetas de crédito ni nada sensible"
  • "Incluso si una cuenta es hackeada, realmente no hay nada que puedas hacer con ella"
  • "No creo que nadie esté interesado en lo que el Usuario X ha estado haciendo en nuestra plataforma"
  • "No hay valor comercial en seguridad"
  • "Debemos concentrarnos en implementar nuevas funciones para nuestros usuarios"
  • "Somos magros, y el código que no genera dinero es un desperdicio"
  • "Si hacemos esto demasiado complicado, los usuarios irán a nuestros competidores"
  • "Adobe ha sido hackeado y la gente aún los ama"
  • "La probabilidad de que esto ocurra es tan baja que no podemos justificar el gasto de recursos en ello".

Algunos de estos pueden ser tontos, pero otros que plantean la cuestión del valor comercial de la seguridad, son perfectamente válidos. Desafortunadamente, estos son los más difíciles de responder para mí, porque francamente no sé la respuesta. Siento que puedo buscar en Google hasta que las vacas lleguen a casa y aún así no obtenga nada más que promociones y lugares comunes como "Su sitio web es su tarjeta de visita virtual y desea causar una buena impresión".

Algunas notas que he hecho hasta ahora:

  • De hecho, las pequeñas empresas están muy orientadas, ya que son "frutas de bajo rendimiento"
  • Es posible que un atacante ni siquiera sepa tu negocio, por ejemplo. si el malware está instalado con un administrador de dependencias
  • Todos los datos son interesantes si tiene un propósito
  • A los atacantes no les importa su plataforma y es muy probable que no les importe lo que el usuario ha estado haciendo en esa plataforma. Están interesados en los datos de usuario almacenados (PII, texto sin formato o credenciales mal escritas, direcciones de correo electrónico, etc.)
  • Los vectores de ataque pueden incluir varios objetivos y su plataforma podría ser solo una pieza pequeña en un plan más grande
  • Cumplimiento de los legisladores y socios comerciales potenciales
  • El valor comercial de la seguridad se puede cuantificar después de que haya ocurrido una infracción (por ejemplo, la cantidad de clientes perdidos)
  • "Lean" proviene de la industria automotriz y tienen muchos reglamentos que cumplir.
  • Seguridad como elemento diferenciador (se destaca y crea confianza con los clientes)

TL; DR: Preguntas reales

No espero que nadie responda a todas estas preguntas. Solo busco alguna entrada, y tal vez algunos punteros en la dirección correcta. La charla no ocurrirá antes del tercer trimestre de 2019, por lo que aún hay tiempo para investigar.

  1. La gran pregunta que necesita una respuesta es "¿Por qué las PYMES deberían preocuparse por la seguridad (de las aplicaciones)?"
  2. Al final del día, ¿la seguridad es simplemente una gestión de riesgos?
pregunta jgxvx 16.12.2018 - 16:32
fuente

4 respuestas

3
  1. Todas las empresas, sin importar lo que hagan o lo grandes que sean, se ejecutan con información
  2. La información tiene valor para la empresa, por lo que la empresa necesita proteger la disponibilidad y la integridad de esa información
  3. La información tiene valor para otros; Sus clientes, sus empleados, sus socios comerciales y tienen valor para otros que pueden explotarlo para su propio beneficio, por lo que la información debe protegerse para que las personas no puedan usarla para causar daño.
  4. Todas las empresas deben garantizar que la información se utilice de la manera correcta en el momento adecuado para que los clientes, empleados y socios obtengan el beneficio que necesitan

Estos cuatro puntos significan que es necesario que haya procesos y capacitación en el lugar para asegurarse de que el beneficio máximo se deriva de la información y el impacto mínimo que se experimenta cuando algo sale mal. A esto lo llamamos "seguridad de la información". La seguridad de la información no se trata de tecnología y no de "piratas informáticos". Se trata del manejo adecuado de la información durante la vida de la información y el negocio.

Los procesos de seguridad de la información no son nuevos. Las empresas de todos los tamaños deben manejar todos los activos de la misma manera. De hecho, puede reemplazar la palabra "información" por "activo" en los cuatro puntos anteriores, y las empresas no se sorprenderán. La información es tan importante como los activos para una empresa porque la información es el activo más importante.

    
respondido por el schroeder 16.12.2018 - 17:58
fuente
3

Creo que la pregunta es demasiado amplia, por lo que solo cubriré lo que creo que es el aspecto principal:

  

¿La seguridad, al final del día, es simplemente gestión de riesgos?

Eso es lo que es. Existen varios riesgos relevantes para las PYMES que se abordan mediante la seguridad de la información, por ejemplo:

  • El ransomware puede resultar en la imposibilidad de acceder a datos o sistemas que son críticos para el negocio. Las copias de seguridad faltantes o incorrectas pueden causar problemas similares.
  • La competencia podría obtener acceso a datos secretos y podría usarlos para su propio beneficio, como por ejemplo, subastar las ofertas de las compañías o robar ideas y llegar más rápido al mercado con estos. La competencia no necesita ser expertos en seguridad para obtener este tipo de acceso, ya que los hackers que realizan espionaje o sabotaje pueden ser contratados.
  • Ser parte inadvertida de una red de bots que envía correo no deseado puede hacer que los correos provenientes de la compañía sean bloqueados por los servidores de correo de los clientes o socios, perdiendo así la capacidad de comunicarse adecuadamente.
  • Si los datos de los clientes se ven afectados por un problema de seguridad, se podrían perder clientes, ser multados y también tener problemas para obtener un proveedor de pagos en condiciones aceptables.
  • y probablemente más ...

Por lo tanto, si no se abordan los riesgos, es probable que se pierdan negocios y se pierda dinero. Por otra parte, abordar el riesgo también requerirá dinero y tiempo, por lo que uno tiene que encontrar una manera de equilibrar estos y determinar qué riesgo es aceptable. Pero para hacer esto, primero hay que evaluar cuáles son los riesgos específicos para la empresa en realidad.

    
respondido por el Steffen Ullrich 16.12.2018 - 17:44
fuente
1

IT es solo una herramienta, y debe considerarse como cualquier otra herramienta, ni más ni menos. Supongo que la puerta de la oficina está cerrada con llave por la noche, pero es probable que no haya un escuadrón de la guardia armada detrás. Pero puede tener una caja fuerte en la oficina para los documentos más importantes o para los valores. Eso significa que la seguridad física debe adaptarse a un nivel de riesgo con un costo / valor de equilibrio.

Nada es diferente con la seguridad de TI. Solo ignorarlo sería lo mismo que dejar la puerta de la oficina abierta por la noche: cualquiera podría entrar y robar o destruir cosas. Por otro lado, no serviría de nada establecer un nivel demasiado alto porque no valdría la pena, simplemente como hacer que la oficina sea una copia de Fort Knox.

La mala noticia con esto es que no puede evitar un análisis de riesgo mínimo: lo que es importante en su sistema de información, cuáles son los riesgos de los que quiere protegerse y cuál es el costo relacionado en términos de dinero y uso. .

    
respondido por el Serge Ballesta 17.12.2018 - 11:41
fuente
1

Pocos pensamientos:

  • La seguridad es un aspecto de Calidad . Un buen resumen es aquí
  • La seguridad se combina con Privacidad (piense en el repudio, el cumplimiento, las reclamaciones de los clientes, etc.)
  • La seguridad no se trata solo de tecnologías, se trata principalmente de Procesos y Personas . Por lo tanto, debe centrarse en sus procesos de trabajo / negocio (por ejemplo, con qué frecuencia comprueba la seguridad, con qué frecuencia restablece las contraseñas, quién puede ver los registros etc.) y su gente (por ejemplo, conciencia de seguridad, capacitación, etc.)
respondido por el papajony 17.12.2018 - 12:06
fuente

Lea otras preguntas en las etiquetas

Lista negra de direcciones IP basadas en el número de 404s en Apache ¿Es flash o javascript una mayor preocupación de seguridad? [cerrado]