00:00:07 Seguridad de datos y computación en la nube.
00:00:38 Desafíos de la seguridad de datos en la optimización de la cadena de suministro.
00:02:11 Aumento de los ataques cibernéticos y dependencia de los sistemas de TI.
00:03:08 Restringir el área de ataque superficial y externalizar a proveedores de la nube.
00:06:17 Minimizar la superficie de ataque en el diseño de software y evitar bases de datos relacionales.
00:08:01 Utilizar la simplicidad y componentes mínimos para la seguridad.
00:09:26 Apertura, transparencia y exposición como claves para la seguridad de datos.
00:11:03 La importancia de los hackers éticos en la mejora de la seguridad.
00:13:18 Compensar justamente a los hackers éticos por sus esfuerzos.
00:14:35 Diferenciar entre hackers éticos y hackers maliciosos.
00:16:00 La seguridad de los sistemas de la empresa y priorizar a los freelancers.
00:16:47 La confianza en la seguridad de los datos y el impacto de Bitcoin en la conciencia de seguridad.
00:17:50 Diferencias en las prácticas de seguridad entre empresas B2C y B2B, grandes corporaciones y gobiernos.
00:20:01 Desafíos en la seguridad de la red militar y ejemplos de vulnerabilidades de hardware.
00:24:01 La posibilidad de un futuro con hacking significativamente reducido y adoptando una cultura de apertura en la seguridad de la cadena de suministro.
Resumen
En la entrevista, Kieran Chandler y Joannes Vermorel discuten la seguridad de datos en la optimización de la cadena de suministro. Vermorel reconoce el aumento de los ciberataques debido a la creciente digitalización y dependencia del software. Él enfatiza la importancia de la apertura y exposición en la seguridad de la cadena de suministro, abogando por una filosofía de “defensa en profundidad” con múltiples capas de protección. Cita el valor de los hackers éticos para identificar y solucionar vulnerabilidades, y sugiere que las empresas pueden mejorar la seguridad al minimizar las superficies de ataque y confiar en proveedores confiables de computación en la nube. Vermorel cree que adoptar la transparencia y exposición en las prácticas de la cadena de suministro resultará en una transición más rápida hacia sistemas más seguros.
Resumen Extendido
En esta entrevista, Kieran Chandler, el presentador, discute la seguridad de datos con Joannes Vermorel, el fundador de Lokad, una empresa de software especializada en la optimización de la cadena de suministro. La conversación gira en torno a la creciente importancia de la seguridad de datos a medida que la computación en la nube se vuelve más popular y las técnicas de hacking se vuelven más sofisticadas.
Joannes reconoce que la seguridad de datos no es un problema nuevo, pero ha estado presente durante bastante tiempo. Recuerda que cuando comenzó Lokad hace 10 años, la idea inicial era mantener los datos alejados de todas las redes, pero este enfoque resultó perjudicial para la optimización de la cadena de suministro. Las empresas con cadenas de suministro complejas y distribuidas necesitan proporcionar acceso a los datos para todas las partes involucradas con el fin de optimizar sus operaciones. Esto aumenta inherentemente la exposición de los datos y los sistemas, lo que conlleva desafíos de seguridad de datos.
El presentador cuestiona si los incidentes de hacking realmente están ocurriendo con más frecuencia o si simplemente se informan más a menudo en los medios de comunicación. Joannes cree que los ciberataques están aumentando, principalmente porque hay más sistemas de TI y una mayor dependencia del software. A medida que las empresas se digitalizan más y los consumidores utilizan más servicios en línea, la superficie de ataque para los hackers crece, lo que lleva a más violaciones de datos.
Cuando se le pregunta sobre las técnicas para proteger los datos, Joannes afirma que la seguridad es la segunda preocupación más importante en Lokad, siendo su principal preocupación la calidad de los números que entregan para la optimización de la cadena de suministro. Un enfoque básico para garantizar la seguridad de los datos es restringir la superficie de ataque para los hackers. Esto implica diseñar soluciones de software con un potencial mínimo para que las cosas salgan mal.
Joannes explica que una de las razones por las que Lokad se trasladó a la computación en la nube fue para delegar el hardware y el manejo de los sistemas operativos a empresas más grandes como Microsoft. Si bien no es perfecto, estas empresas tienen más recursos y personal para asegurar físicamente el hardware informático. Tiene sentido confiar en una empresa con cientos de personas trabajando en seguridad en lugar de un equipo más pequeño de 20 personas.
El presentador luego pregunta cómo elegir empresas de computación confiables para externalizar el trabajo. Joannes sugiere que los grandes proveedores de computación en la nube como Amazon, Microsoft y Google, que son supervivientes de Internet, son generalmente confiables. Estas empresas enfrentan constantes ciberataques, por lo que su experiencia y recursos los hacen mejor preparados para manejar la seguridad de los datos.
Para garantizar la seguridad de sus sistemas, Lokad minimiza su superficie de ataque utilizando componentes más simples y evitando capas de almacenamiento de datos programáticamente inteligentes, como las bases de datos relacionales. En su lugar, optan por una capa de almacenamiento de datos más básica, utilizando almacenamiento de blobs en Azure, que es menos susceptible a ciertos tipos de ataques. Lokad también es selectivo en su uso de componentes de código abierto, evaluando cada uno y restringiendo la cantidad de masa tecnológica en sus soluciones.
Vermorel cree que un elemento clave de la cultura corporativa para mejorar la seguridad de los datos es la apertura, lo cual contrasta con la mentalidad de fortaleza que a menudo se utiliza en las prácticas de la cadena de suministro. Argumenta que los sistemas de TI no son seguros solo por su diseño, sino también debido a la transparencia y la exposición. La transparencia implica que las personas comprendan cómo funcionan los sistemas y su arquitectura, mientras que la exposición se refiere a someter los sistemas a hackers éticos, que son hackers éticos que buscan mejorar la seguridad.
Los hackers éticos ayudan a las organizaciones a identificar y solucionar vulnerabilidades en sus sistemas. Vermorel comparte que Lokad ha experimentado esto algunas veces, con hackers éticos encontrando problemas dentro de cuentas individuales, que posteriormente se informaron y solucionaron. Para animar a los hackers éticos a seguir identificando posibles problemas de seguridad, las organizaciones deben compensarlos de manera justa por sus esfuerzos.
Vermorel comparte su perspectiva sobre los diferentes niveles de madurez en seguridad entre diferentes tipos de organizaciones. En un extremo del espectro se encuentran empresas como Facebook y Google, que tienen medidas de seguridad sólidas debido a su gran exposición y alto volumen de intentos de hacking. Estas empresas orientadas al consumidor están constantemente bajo ataque, lo que las obliga a estar bien preparadas y ser proactivas en sus medidas de seguridad.
Más abajo en el espectro se encuentran las empresas de software B2B como Lokad, que, si bien no están tan expuestas como los gigantes B2C, aún se esfuerzan por alcanzar altos niveles de seguridad al mantener la transparencia y permitir un fácil acceso a sus sistemas. Vermorel sugiere que la seguridad de estas empresas B2B tiende a ser más débil, ya que no tienen tanta exposición y, en consecuencia, no enfrentan la misma intensidad de intentos de hacking.
Un nivel aún más bajo de madurez en seguridad se puede encontrar en grandes corporaciones no tecnológicas y gobiernos, que a menudo se basan en una mentalidad de “fortaleza” y seguridad a través de la oscuridad. Estas organizaciones pueden intentar ocultar información sensible, pero Vermorel argumenta que este enfoque es incompatible con el tamaño y la complejidad de las organizaciones modernas.
Sorprendentemente, Vermorel afirma que las organizaciones militares tienen las peores prácticas de seguridad, ya que a menudo utilizan redes privadas que han estado aisladas durante décadas. Si bien se podría suponer que estas redes privadas serían más seguras, su falta de exposición a amenazas externas las ha dejado mal preparadas para los desafíos de seguridad modernos. Vermorel señala que las grandes organizaciones militares distribuidas en múltiples ubicaciones y países luchan por mantener una red aislada mientras administran a miles de empleados y contratistas.
Vermorel destaca que incluso los sistemas más seguros pueden ser comprometidos, como lo demuestran los fraudes pasados y las vulnerabilidades encontradas en el hardware de Intel. Explica que las vulnerabilidades de hardware, como Spectre y Meltdown, también pueden hacer que el software y las aplicaciones sean inseguros.
Vermorel enfatiza la importancia de la exposición a hackers que pueden identificar y solucionar vulnerabilidades antes de que puedan ser explotadas. Señala que los sistemas militares, que a menudo utilizan hardware de Intel, son particularmente vulnerables a este tipo de ataques. Sin embargo, cree que es posible eliminar eventualmente el hacking, ya que no existe una ley fundamental que dicte que todos los sistemas informáticos deben ser inseguros.
Vermorel sugiere que las cadenas de suministro pueden volverse más seguras al adoptar una cultura de apertura y exposición. Esto implica hacer que los sistemas sean más transparentes y accesibles, al tiempo que se mantienen medidas de seguridad. Aboga por una filosofía de “defensa en profundidad”, donde se implementan múltiples capas de seguridad para proteger la información sensible. En general, Vermorel argumenta que las empresas y organizaciones con cadenas de suministro serán más seguras si adoptan este enfoque, lo que resultará en una transición más rápida a sistemas más seguros.
Transcripción completa
Kieran Chandler: Hoy en Lokad TV, vamos a discutir cómo la computación en la nube gana popularidad y también cómo las técnicas de hacking se vuelven cada vez más sofisticadas. ¿Puedes tener plena confianza en la seguridad de tus datos? Entonces Joannes, este es un tema que ha sido algo sensacionalizado en los medios en los últimos tiempos, pero ¿la seguridad de los datos es realmente un problema nuevo?
Joannes Vermorel: No, ha existido durante bastante tiempo. Es intrigante. Cuando comencé Lokad hace 10 años, la idea era mantener los datos bloqueados lejos de todas las redes y lejos de los hackers y todo eso. Pero tan pronto como se trata de cadenas de suministro, si solo bloqueas tus datos en una bóveda, sí, es muy seguro, pero tus cadenas de suministro sufren dramáticamente. El problema es que las personas, los socios e incluso tu propia organización no tienen acceso a los datos para optimizar realmente tu cadena de suministro. Entonces, si quieres lograr algún grado de optimización de la cadena de suministro y tener una cadena de suministro un poco compleja y distribuida en diferentes ubicaciones o posiblemente diferentes países, entonces necesitas tener una forma de proporcionar a todas las partes involucradas en tu cadena de suministro los datos correctos. Eso significa, por diseño, estás exponiendo más tus datos, estás exponiendo más tus sistemas y así surge el problema de la seguridad de los datos.
Kieran Chandler: Parece que todos los días en los medios vemos una nueva organización o una nueva celebridad siendo hackeada. ¿Es algo que realmente está ocurriendo con más frecuencia o es simplemente que estamos escuchando sobre ello con más frecuencia?
Joannes Vermorel: Creo que los ciberataques están aumentando en general. Hay algunas razones muy básicas para eso. No es que tengamos más personas malas; es simplemente que tenemos más sistemas informáticos y más dependencia de nuestro propio software en general. Las empresas se están digitalizando más y incluso los clientes regulares están utilizando más servicios en línea. Como consecuencia, todo eso aumenta el área de ataque para las personas malintencionadas y, por lo tanto, terminas con más filtraciones. No significa que la seguridad esté empeorando o que haya más personas malas en general.
Kieran Chandler: Si hay más ataques ocurriendo todos los días, veamos algunas de las técnicas que podemos usar para protegernos. ¿Qué podemos hacer aquí?
Joannes Vermorel: En Lokad, la seguridad es la segunda preocupación más importante. La preocupación más importante es la calidad de los números que entregamos para una gran optimización de la cadena de suministro. Pero la segunda preocupación es garantizar la seguridad de los datos de nuestros clientes. Una de las técnicas más básicas para hacerlo es restringir el área de ataque para los hackers y los problemas en general. ¿Cómo se hace eso cuando se diseña una solución de software? Primero, intentas restringir tanto como sea posible la cantidad de cosas que pueden salir mal por tu culpa. Por ejemplo, una de las razones por las que nos mudamos hacia la computación en la nube fue para poder delegar el hardware y gran parte del manejo de los sistemas operativos a Microsoft. No es que Microsoft sea perfecto, pero en términos de equipos de ingeniería, tienen muchos más recursos para asegurar físicamente el hardware informático que Lokad. Por lo tanto, tiene mucho sentido no confiar en tu equipo cuando tienes 20 personas, mientras que Microsoft está tratando de hacer el mismo esfuerzo de seguridad con varios cientos de personas en el caso.
Kieran Chandler: Hablemos un poco sobre esa delegación. Hay muchas empresas informáticas por ahí, ¿cómo sabes en cuáles de las empresas debes confiar y cuáles son las empresas a las que debes externalizar tu trabajo y cuáles son las empresas que probablemente debas evitar?
Joannes Vermorel: Como regla general, confía en las grandes empresas que están exponiendo toneladas de recursos informáticos en línea. Estoy hablando de los grandes proveedores de computación en la nube como Amazon, Microsoft y Google. Estos son supervivientes de Internet, siendo atacados todos los días por cientos de hackers. Si sus sistemas siguen funcionando después de una década de operación, significa que han sobrevivido a todos los castigos que han recibido a diario. No significa que nunca hayan sido vulnerados; simplemente significa que han estado arreglando y parchando diligentemente todos los problemas que han encontrado. Cuanta más exposición tenga tu proveedor y más tiempo haya estado en funcionamiento, más confianza puedes darle. Si han permanecido expuestos, han sido atacados implacablemente y han sobrevivido, probablemente sean bastante buenos en seguridad.
Kieran Chandler: Bien, externalizar a otras empresas es una forma de asegurar que nuestros sistemas estén seguros. ¿Qué otras técnicas podemos usar para asegurar que nuestros sistemas estén seguros?
Joannes Vermorel: El mismo principio de minimizar el área de ataque también se aplica a la parte interna de tu software. Por ejemplo, en Lokad, no utilizamos internamente ningún sistema de base de datos relacional o bases de datos SQL. No es que no nos gusten; son potentes y pueden hacer muchas cosas. Sin embargo, tenerlos en tu capa de almacenamiento crea un problema de seguridad masivo. Aún se puede asegurar, pero requiere mucho esfuerzo. Con SQL, puedes escribir código, lo que significa que puedes escribir código malicioso. Para protegernos contra eso, en Lokad, utilizamos una capa de almacenamiento de datos muy simple y ingenua, como el almacenamiento de blobs en Azure. La idea clave es que utilizamos una capa de almacenamiento de datos que es órdenes de magnitud más simple que las bases de datos relacionales y no tiene expresividad programática. Esto significa que no pueden ocurrir clases enteras de ataques a nivel de nuestra capa de almacenamiento de datos porque es demasiado simple para ofrecer ángulos para esos ataques. Aplicamos la misma idea a muchos otros componentes, optando por opciones más simples y menos expresivas para minimizar la cantidad de cosas que pueden salir mal.
Kieran Chandler: Entonces, ser simplista y un poco tonto en realidad es muy beneficioso. Eso cubre la seguridad por diseño. ¿Qué tipo de valores culturales deberían promover las empresas para aumentar su seguridad de datos?
Joannes Vermorel: La apertura es probablemente la clave.
Kieran Chandler: Entonces, ¿cómo describirías el enfoque de fortaleza que mencioné sobre las cadenas de suministro y cómo se hacían las cosas hace diez años?
Joannes Vermorel: Si tienes una mentalidad de fortaleza, quieres bloquear tus datos en una bóveda que esté enterrada y sea muy difícil de acceder. Esto hace que todo sea opaco y oscuro, y es difícil acceder a los datos. Pero ¿eso realmente te hace seguro? El problema es que, en lo que respecta a la tecnología de la información, este tipo de comportamiento y cultura corporativa es muy adverso a la seguridad.
Kieran Chandler: ¿Por qué los sistemas de TI no son seguros?
Joannes Vermorel: Los sistemas de TI no son completamente seguros, no solo porque se hayan diseñado para ser seguros, sino también debido a las prácticas de diseño. Si no tienes corrección por diseño en el software, es muy difícil asegurar cualquier cosa. Una vez que tienes eso, junto con un alto grado de escrutinio en tu software, lo que necesitas para mejorar la seguridad es transparencia y exposición.
La transparencia significa que las personas pueden ver lo que sucede dentro de tus sistemas de TI, y la seguridad no es una propiedad emergente del hecho de que nadie sabe qué hay en tus sistemas de TI. Las personas deben saber cómo funcionan, su arquitectura y pueden ver si está diseñado correctamente y es seguro. La exposición significa estar expuesto a hackers y, lo que es más importante, a los sombreros blancos, los buenos.
Kieran Chandler: Parece contradictorio exponer tus sistemas y dejar que todos vean lo que está sucediendo. ¿Cómo te hace más seguro que las personas hackeen tus sistemas? ¿Qué hacen realmente estos sombreros blancos?
Joannes Vermorel: Los sombreros blancos son los buenos hackers. Intentan ingresar a sistemas como forma de vida. En Lokad, hemos experimentado esto un par de veces. Las personas en Internet se registran para obtener una cuenta gratuita en Lokad y tratan de investigar cosas, ver si pueden encontrar problemas de seguridad. Algunos de ellos han logrado encontrar problemas, pero solo dentro de una cuenta individual, por lo que la contención fue estrecha.
Cuando encuentran un problema, regresan y lo informan. Pueden pedir una recompensa, pero depende de ti decidir el precio. Esto los motiva a encontrar más problemas en tus sistemas, haciéndolos aún más seguros. Quieres que las personas intenten hackear tu sistema, especialmente los sombreros blancos, para que cuando encuentren un problema, te lo informen diligentemente. Tienes que jugar el juego y compensarlos de manera justa por el esfuerzo que pusieron en hackear tu sistema. Así es como te vuelves más seguro.
Si tus sistemas supuestamente son seguros pero nadie ha intentado hackearlos, entonces es muy arriesgado, porque no lo sabes. En TI, no hay nada como una fortaleza obvia. En una fortaleza real, tienes muros de piedra y se necesita fuerza bruta para atravesarlos. Pero en términos de software, la seguridad puede desmoronarse a veces debido al más mínimo error, como un problema de configuración en uno de tus servidores secundarios. Por lo tanto, necesitas tener personas que intenten explorar y probar en todas partes para garantizar tu seguridad.
Kieran Chandler: Asegurarse completamente, es un concepto un tanto extraño, ¿no es así? Tienes a estas personas que están hackeando tu sistema y en realidad son los buenos, ¿dónde trazas la línea entre lo que es un ataque de sombrero blanco y algo más malicioso?
Joannes Vermorel: Es completamente diferente. Los sombreros blancos son como freelancers, pero tienen su reputación. Son personas buenas, muy profesionales en la forma en que revelan los problemas. Típicamente, revelarán el problema primero a ti y luego dirán: “Bueno, lo que me pagas depende de ti”. Algunas empresas incluso tienen programas de recompensas oficiales. Fundamentalmente, son como freelancers que ayudan a que tu sistema mejore en términos de seguridad.
Los sombreros negros, por otro lado, son lo opuesto. No van a hacer eso. Una vez que encuentran una vulnerabilidad en tu sistema, la explotarán hasta el fin de los tiempos o hasta que hayas parchado la vulnerabilidad. Luego, intentarán revender tus datos o chantajearte. Es muy diferente. Los sombreros blancos no chantajean. Ellos dicen: “Si no me pagas, está bien. No me están pagando, pero no esperes que siga trabajando en tu sistema después”. Hicieron el primero de forma gratuita para que puedas ver que es algo real y que están haciendo un trabajo serio, no solo haciendo afirmaciones vacías. Pero luego, lo que pagas depende de ti. Cuanto más pagues, más captarás su interés en intentar encontrar más problemas en tu sistema. Y eso tiene sentido porque son freelancers que podrían trabajar en mejorar la seguridad de tu empresa u otras empresas, por lo que tienen que establecer prioridades.
Kieran Chandler: Y mencionaste antes que es muy fácil que exista una pequeña laguna en algún lugar, y eso es en lo que los hackers son buenos: encontrar esas lagunas. Pero, ¿puedes realmente confiar en la seguridad de tus datos? Quiero decir, incluso los gobiernos están siendo hackeados en la actualidad, y parecen tener recursos infinitos para dedicar a estas cosas. Entonces, ¿puedes realmente relajarte?
Joannes Vermorel: La respuesta es realmente no. Es interesante porque creo que todos estos problemas de seguridad se hicieron más visibles gracias a cosas como Bitcoin. ¿Por qué? Porque de repente se vuelve obvio que es increíblemente difícil asegurar cualquier cosa. Con Bitcoin, si tu máquina que tiene tus Bitcoins es hackeada, los Bitcoins son robados. La gente comenzó a darse cuenta cuando estaba poniendo Bitcoins en servidores en línea que prácticamente todo desaparecía después de un tiempo. Entonces, la gente se dio cuenta de lo difícil que era asegurar realmente cualquier cosa.
Si tomamos el ejemplo de los gobiernos, en términos de madurez en seguridad, tienes en un extremo del espectro a las compañías excepcionalmente buenas como Facebook y Google. Sí, Facebook puede ser hackeado de vez en cuando, pero miles de personas intentan hackear Facebook todos los días. Así que son sobrevivientes y son muy buenos porque tienen una exposición masiva, ataques masivos y ataques continuos sin fin en sus sistemas. Lo mismo ocurre con Google, Amazon y Apple, todas esas compañías impulsadas por el consumidor final y super expuestas.
Luego, un escalón más abajo en términos de práctica, están todas las compañías de software B2B como Lokad. En Lokad, intentamos estar muy expuestos en Internet en el sentido de que nuestros sistemas no son seguros porque son opacos. Todo está documentado en línea e incluso puedes registrarte libremente y acceder a una cuenta en línea. Entonces, básicamente, nos damos un alto grado de exposición al igual que Facebook, a propósito. Pero seamos realistas, cuando
Kieran Chandler: Joannes, ¿puedes hablar sobre las diferencias en seguridad entre organizaciones pequeñas y grandes, e incluso gobiernos?
Joannes Vermorel: Sí, por supuesto. Entonces, la cantidad de hackers a los que se enfrentan las organizaciones pequeñas suele ser menor y, como consecuencia, su seguridad tiende a ser más débil. Luego, un gran paso hacia abajo, tienes todo lo que son mega corporaciones y gobiernos. Diría que las mega corporaciones que no están impulsadas por la tecnología, como los Googles de este mundo, tienden a tener una seguridad muy débil. ¿Por qué? Porque todavía están muy metidos en esta mentalidad de fortaleza, seguridad por oscuridad, lo que significa que las cosas están aseguradas no porque sean transparentes y expuestas, sino porque básicamente intentan ocultarlas. Pero, ¿adivina qué? Si eres una organización muy grande, simplemente no funciona. No puedes tener cosas ocultas y tener decenas de miles de empleados jóvenes en la organización. Eso simplemente no es compatible. Entonces, en resumen, la seguridad tiende a ser bastante mala. Y en el extremo más extremo del espectro, tienes al ejército, que probablemente sea el peor en términos de seguridad de TI y práctica. Sé que la gente pensaría que es exactamente lo contrario y diría que el ejército debería ser absolutamente seguro, extra. Pero, por el contrario, han tenido décadas de experiencia teniendo sus propias redes privadas, sus propios sistemas privados, todo. Y como consecuencia, carecen dramáticamente de la exposición que deberían tener. Y si sigues algunas noticias, verás que algunos ejércitos de todo el mundo tienen frecuentemente tonos de problemas de TI relativamente atrasados que son una consecuencia directa de la falta de exposición.
Kieran Chandler: ¿Qué es lo que hace que esas redes privadas sean más vulnerables? Porque si tienes un sistema militar que ha sido privado durante décadas, seguramente podrán solucionar su seguridad y será algo seguro, ¿no?
Joannes Vermorel: La cuestión es que si dices que mi red es segura porque está desconectada de Internet, ¿adivina qué? Nuevamente, si eres militar, eres una gran organización que se extiende por muchas ubicaciones con decenas de miles de personas. Si eres un militar activo que está luchando en el extranjero, tus sistemas se extenderán por varios países. ¿Y cómo puedes mantener esta red completamente desconectada de todo lo demás? No puedes confiar en tus empleados o en las personas que son miembros de nuestra organización a esa escala, no cuando tienes miles de personas. La cantidad de adquisiciones que tienes no tiene sentido porque hemos descubierto muchos fraudes. Bernie Madoff, hasta que fue condenado, no tenía nada en su historial. Tenía un historial impecable hasta que descubrimos que era el mayor fraude de la historia. Eso es lo que suele suceder. Confiamos en las personas hasta que son descubiertas. Tienen un historial impecable, y eso se aplica a los fondos de inversión, pero es lo mismo para el ejército y demás. Estas son solo cosas humanas. Entonces, en resumen, si tu red está… Completamente desconectada, ¿cómo te expones a todos esos hackers que intentan encontrar y explorar, por ejemplo, las vulnerabilidades que existen en el hardware de Intel? Entonces, los procesadores de CPU tienen dos clases de vulnerabilidades que se descubrieron hace aproximadamente un año: Spectre y Meltdown. Esto significa que el propio hardware es vulnerable y que tienes clases de aplicaciones de software que se vuelven vulnerables porque el hardware en el que se ejecutan está comprometido. No creo ni por un segundo que ningún ejército en la actualidad no tenga ningún hardware de Intel en sus sistemas. Quiero decir, Intel tiene algo así como más del cincuenta por ciento de cuota de mercado en CPU para escritorios. Así que estoy bastante seguro de que cada ejército en el mundo tiene literalmente cientos, si no miles, de estaciones de trabajo que funcionan con hardware de Intel que tiene vulnerabilidades críticas. Entonces, ¿cómo lidiar con eso si no tienes personas que intenten solucionar el problema? Bueno, lo más probable es que sigas siendo vulnerable hasta que alguien logre conectarse a tu red supuestamente privada y protegida, y luego todo estará en peligro porque todo es un poco débil y no ha recibido suficiente escrutinio.
Kieran Chandler: Empieza a ser un poco preocupante ahora. Es posible que no pueda dormir esta noche. Intentemos terminar en una nota más positiva entonces. Los Googles y los Facebooks de este mundo están invirtiendo una gran cantidad de recursos en investigación y desarrollo en seguridad de datos. Entonces, ¿podemos imaginar un día en el que el hacking sea algo del pasado y realmente no exista en absoluto?
Joannes Vermorel: Creo que sí. No hay ninguna ley física que diga que todos los sistemas informáticos son inseguros. No existe tal cosa como una ley fundamental que diga que la cantidad de hacking solo aumentará con el tiempo. Entonces, esto no es entropía. Pero la conclusión es que llevará tiempo. Y en lo que respecta a las cadenas de suministro, esta evolución puede ocurrir mucho más rápido si adoptas una cultura de apertura y exposición para tu cadena de suministro y tus sistemas de cadena de suministro. Lo que significa que, al tener sistemas más transparentes y más expuestos, pero aún seguros. No estoy diciendo que quieras estar expuesto en el sentido de que cualquier persona pueda acceder a cualquier cosa desde cualquier lugar, eso no es lo que quiero decir con exposición. Con exposición, me refiero a que no es seguro solo porque hay una sola persona en el departamento de TI que se supone que puede acceder a eso. No es este tipo de seguridad. Pero básicamente, cuanto más empresas tengan cadenas de suministro con sistemas más en línea, más seguros y con una filosofía de defensa en profundidad, tendrán algo mucho más seguro.
Kieran Chandler: Tendremos que dejar las cosas así. Esperemos que nadie nos piratee después de esto, o tal vez quieras que nos pirateen. Solo sombreros blancos, por favor. Eso es todo por esta semana. Muchas gracias por sintonizar, y nos vemos la próxima vez. Hasta luego.
