En el mundo de la tecnología, la seguridad se ha convertido en una preocupación primordial. Y con razón. Con la cantidad de violaciones de datos y violaciones de privacidad, es evidente que se necesita un enfoque en la seguridad en el espacio tecnológico. Sin embargo, el problema principal es que lo que la mayoría de las personas y organizaciones consideran seguridad, en realidad no lo es. Gran parte de esto se reduce a políticas, mantenimiento y programación, y tiene muy poco que ver con la seguridad real para la mayoría de las organizaciones.

Una organización que vende datos a otra empresa o permite el uso de datos por parte de terceros es un problema de política, no de seguridad. Por otro lado, sistemas como dispositivos de Internet de las cosas (IoT), dispositivos de punto de venta (POS), sistemas Linux, ecología de código abierto de escritorio, exploits de Wi-Fi y una serie de otros vectores de ataque potenciales generalmente existen como resultado de parches o actualizaciones incorrectas o inexistentes.

Tomemos, por ejemplo, el brote de WannaCry. Este ciberataque se dirigió a un sistema operativo que ya había parcheado la vulnerabilidad que estaba siendo explotada. Para el proveedor del sistema operativo, esto es un problema de seguridad. Identificaron una vulnerabilidad en su código, la parchearon, lanzaron el parche y todo debería haberse evitado. Para las organizaciones que experimentaron interrupciones, se debió a su incapacidad para parchear el sistema operativo.

Examinemos por un momento un escenario común de una organización que compra una aplicación de arquitectura de múltiples niveles (N-tier) a un proveedor y despliega esta aplicación de línea de negocio (LOB) en su red interna. Teniendo en cuenta la alta disponibilidad, supongamos que hay un clúster de servidores de archivos de dos nodos con sistemas operativos Windows Server y servicios de archivos de Windows, un clúster de SQL de Microsoft de dos nodos con sistemas operativos Windows Server, un equilibrio de carga de dos nodos frente a la web utilizando Internet Information Services (IIS) o Linux y un conjunto de servidores de aplicaciones equilibrados de dos nodos. Después de solo la jerarquía N-tier, todavía quedan la red, la gobernanza de todas esas piezas, el acceso interno y externo y la gestión de acceso, así como las comunicaciones entre todos los niveles y todos los servicios de soporte.

En este caso, la organización que compra e implementa esta aplicación no aplica realmente “seguridad” para garantizar el funcionamiento seguro y continuo de esta aplicación, los proveedores asociados lo hacen. Los proveedores proporcionaron todo el código y brindan actualizaciones para todo el código aquí. La organización que implementa solo necesita seguir las pautas de implementación adecuadas descritas por los proveedores y luego mantener los sistemas en todos los niveles, lo cual puede ser una tarea desalentadora en este momento.

Fuente del artículo: Forbes