¿Qué es el hacking ético?
“Para la mayoría de las personas, la palabra 'hacking' tiene connotaciones negativas, les recuerda a alguien que se mete en sus dispositivos o sistemas. En el hacking ético, un especialista busca vulnerabilidades en el sistema o la aplicación, por ejemplo, sin revelarlas públicamente. Esto se denomina 'prueba de penetración'. El especialista asesora a la empresa, para que pueda resolver estos problemas. Por poner una analogía, es como si le pidiéramos a un ladrón que compruebe si nuestra es casa es segura y que identifique las zonas vulnerables, para que podamos mejorar la seguridad. Es decir, que con estas prácticas ayudamos a las empresas a llevar la seguridad de sus sistemas y aplicaciones a un nivel superior”.
Usted es un hacker ético en Onvio. ¿En qué consiste su trabajo?
“Cuando probamos una aplicación, por ejemplo, comenzamos por mapear sus funcionalidades. Esto puede ir acompañado por una sesión de demostración junto a la empresa con la que trabajamos. A continuación, analizamos el tráfico entre el navegador del usuario —en el caso de Priva, el productor— y el servidor de la empresa, que en este caso es la propia Priva. Interceptamos ese tráfico y vemos si podemos ejercer influencia sobre él. Esa es la parte más exhaustiva de la prueba de penetración”.
¿Qué ocurre una vez finalizada la prueba de penetración?
“Redactamos un informe a partir de nuestros hallazgos. Este informe está compuesto por una sección técnica, un análisis del riesgo y un resumen de gestión. Este informe le dice al personal técnico qué es precisamente lo que se debe cambiar y les brinda a los directivos un panorama claro de la situación. El cliente después analiza el informe con su propio equipo de desarrollo. Luego, nos reunimos al momento de la entrega para repasar juntos las cuestiones técnicas del informe. En caso de ser necesario, explicamos estas cuestiones técnicas y realizamos recomendaciones oficiales. Aunque, en definitiva, es el cliente quien tiene la última palabra y decide si implementarlas o no. Con el tiempo, podemos hacer una nueva prueba, después de la cual brindamos nuevos consejos basados en el informe inicial y en las mejoras realizadas”.
En Priva, varias aplicaciones en la nube han sido sometidas recientemente a una prueba de penetración. En el caso de esas aplicaciones, se recibió un TPM (memorando de terceros). Estos documentos indican que las aplicaciones auditadas cuentan con un nivel de seguridad satisfactorio. Además, las pruebas de penetración se repetirán en forma periódica. Priva espera la pronta expedición de nuevos TPM para otros productos y servicios en la nube.
El mundo digital se desarrolla a un ritmo vertiginoso. ¿Cómo es posible mantenerse actualizado, en términos de hacking?
“Actualmente, existe una oferta de cursos e incluso maestrías que se centran en la seguridad y el hacking. Además, hay un gran número de programas de certificación que ofrecen formación práctica en una especie de laboratorio. Es fundamental —para nosotros y para nuestros clientes— continuar detectando nuevos tipos de vulnerabilidades. Por eso, nosotros vamos a ese tipo de laboratorios cada año a realizar pruebas, adquirir nuevos conocimientos y obtener certificaciones”.
Cada día se detectan nuevas vulnerabilidades en el software y en las aplicaciones. Es un fenómeno que nunca termina. Por eso, mantenerse actualizado consiste, principalmente, en estar al día con los desarrollos y las innovaciones más importantes. Por ejemplo, conocer las nuevas tecnologías, como un nuevo mecanismo de inicio de sesión. Eso también genera nuevas vulnerabilidades.
¿Qué consejos podría darles a nuestros clientes, los productores?
“La mayoría de los clientes de Priva, los productores, están al frente de empresas en las que se automatizan diversos procesos. Eso implica muchos datos. Para un productor puede resultar estresante conectar los sistemas con soluciones en la nube, como una aplicación. Porque, por ejemplo, ¿qué pasa si alguien no autorizado obtiene información sobre los cultivos? Ese puede ser un temor real, pero creo que, de hecho, los datos de las cosechas se encuentran más seguros cuando se utilizan la nube y los servicios digitales. Los productores son muy buenos cultivando, pero a menudo no se sienten cómodos en el ámbito de la seguridad. Por ejemplo, como productor, ¿tiene información sobre el análisis de riesgos, sabe qué datos se generan, dónde se almacenan y quién tiene acceso a ellos? Entonces, uno de mis consejos sería invertir en eso.
Algunos productores se muestran reacios a almacenar sus datos en la nube, porque no saben dónde está alojada esa información. Pero Priva elimina esta preocupación. Priva y Microsoft tienen acuerdos relativos a los datos almacenados y la forma de protegerlos. En la mayoría de los casos, este tipo de almacenamiento es más seguro que el almacenamiento local. Por ejemplo, ¿qué tal un servidor local con seguridad y copias de seguridad? Estas son cosas que ocurren de forma automática en la nube, ya que en ese caso los sistemas de seguridad estándar están habilitados. Esto es muy avanzado y a menudo va más allá de las medidas de seguridad que uno puede tomar por su cuenta”.
¿Desea saber más acerca de los servicios digitales de Priva?
Descubra Priva Connected, un conjunto de soluciones innovadoras diseñadas para que su invernadero esté preparado para el futuro.
