Puede pensar que los equipos de seguridad de las grandes empresas odian que los investigadores y la prensa señalen vulnerabilidades, pero no siempre es así.
Los equipos de seguridad son solo una voz entre muchas y, a menudo, tienen problemas para convencer a los jefes de que la seguridad y la privacidad deben ser una prioridad. Una historia vergonzosa en la prensa puede cambiar eso rápidamente.
Por ejemplo: el investigador de seguridad Troy Hunt una vez llamó a Betfair Security para un sistema que permitía a cualquier persona que supiera la fecha de nacimiento de un usuario cambiar su contraseña. Un mes después, Hunt conoció a un empleado de esa empresa, que sobre lo que escribió en su blog personal :
... un tipo se acercó y me entregó su tarjeta: "Betfair Security". Ah, mierda. Pero la vacilación pasó rápidamente cuando procedió a agradecerme por la cobertura. Verá, sabían que este proceso apestaba, cualquier persona razonable con la mitad de una idea sobre seguridad lo hacía, pero que el equipo de seguridad interno solo le dijera a la gerencia que esto no era bueno no era suficiente para impulsar el cambio. La cobertura negativa de los medios, sin embargo, es algo que la gerencia realmente escucha.
Todos sabemos lo difícil que puede ser para los equipos pequeños impulsar su agenda en las grandes empresas, por lo que hay una cierta lógica aquí. Pero me gustaría que las empresas escucharan a los equipos de seguridad interna y a los investigadores externos, antes de los problemas se hacen públicos masivamente. Por lo general, se trata de una falla de comunicación dentro de las empresas, pero corregir esta falla podría evitar mucha mala prensa y mantenernos a todos más seguros.
Credito de imagen: Virgiliu Obada / Shutterstock.com
